Wat is een verwerkersovereenkomst?
Het is zo dat u als verantwoordelijke een zicht én zekerheid moet hebben over wat er met de persoonsgegevens die u bewaart, verder gebeurd. Een verwerkersovereenkomst is dus eigelijk een overeenkomst tussen de verwerkers.
Wat is een verwerker?
Als onderneming bent u verantwoordelijk wat er met de persoonsgegevens gebeuren die bij uw onderneming binnenkomen. Als u een dienst uitbesteedt aan een extern bedrijf dan geeft u die onderneming het recht om persoonsgegevens te zien , aanpassen etc. De externe ondernming is dus ook een verwerker van uw gegevens. De verweker mag dan die persoonsgegevens gebruiken allen in opdracht van uw onderneming en niet voor egien doeleinden.
Een paar voorbeelden van uitbesteding aan een externe onderneming die een verweker is:
- Hosting door een andere onderneming
- Persoonsgegevens opslaan in een cloud
- Loon uitbesteden
- Socialmedia marketing uitbesteden
Is dit relevant , waarom?
Mocht uw onderneming iets uitbesteden moet je zeker zijn wat de verwerker met je persoonsgegevens doet.
Uw onderneming is verantwoordelijk voor de persoonsgegevens dus ook verantwoordelijk of de verwerker de gdpr wetgeving naleeft.
Voorbeeld: Er is een datalalek bij uw verwerker dan bent u verantwoordelijk dat het datalek wordt gemeld aan de toezichthouder , de GBA.
Dit is dus waarom de gdpr / avg wetgeving schrijft dat er een overeenkomst moet zijn tussen de verwerkersverantwoordelijke en de verwerker.
Wat moet er in een verwerkersovereenkomst worden opgenomen?
De belangrijkste onderwerpen in een verwerkersovereenkomst of Data Processing Agreement;
1. Een beschrijving van de partijen
- Beschrijving / omschrijving van de verwerker
- hoe lang zal deze verwerking duren?de verwerking duurt;
- Aard en doel van de verwerking
- Soort persoonsgegevens
2. Mag het worden uitbesteedt aan sub-verwerkers?
Mocht je verwerker de persoonsgegevens uitbesteden aan andere verwerkers , dan zijn deze sub-verwerkers. Dan moet er een toestemming zijn.
Als er algemene toestemming wordt gegeven moet de verwerker wijzigingen van sub-verwerkers melden aan uw organisatie en uw organisatie de mogelijkheid geven bezwaar te maken.
3. Verplichten opleggen voor sub-verwerker
De sub-verwerker krijgt dezelfde verplichtingen opgelegd als de verwerker.
4. Handelen in opdracht van uw organisatie
De verwerkers en de sub-verwerkers mogen niet zelfstandig bepalen wat er met de persoonsgegevens gebeurd. Ze mogen deze gegevens gebruiken voor het uitvoeren van de diensten van de verwerker.
5. Beveiliging van uw persoonsgegevens
Het beveiligen van de persoonsgegevens is één van de belangrijkste taken van de verwerker. De juiste technische maatregelen nemen om de persoonsgegevens te beschermen.
6. Geheimhouding gegevens door medewerkers
De verwerker moet zorgen dat de personen die de persoonsgegevens zien en verwefrkern verplicht zijn tot geheimhouding.
7. Uw onderneming helpen
Altijd de verweker assisteren en zover mogelijk helpen. Mochten ze vragen hebben moet je klaar staan voor uw verwerkers.
8. Persoonsgegevens vernietigen of overdragen op einde van opdracht
Wanneer er een eind komt aan de samenwerking moeten de persoonsgegevens worden verwijderd of teruggegeven.
9. Audits toestaan en informatie aan uw organisatie geven
De verwerker moet audits toestaan en informatie aan uw organisatie geven zodat uw orgaisatie na kan gaan of de verwerker de verplichtingen uit de bewerkersovereenkomst nakomt.