Tien dingen die je moet weten over de Privacy-verordening: afspraken met dienstverleners (verwerkers)
Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat betekent dat het aftellen inmiddels is begonnen. Dit is deel 6 van onze blogreeks Tien dingen die je niet wil, maar wel moet weten over de komende Privacy-verordening.
Rolverdeling
De privacyregelgeving kent een ingewikkelde rolverdeling tussen de verwerkingsverantwoordelijke en de verwerker. Deze bestaat ook nu al in de privacyregelgeving en blijft bestaan onder de AVG. De rolverdeling is van belang bij samenwerkingen tussen meerdere partijen of bij de uitbesteding van dienstverlening aan externe partijen, in het kader waarvan persoonsgegevens worden uitgewisseld of verstrekt. De verwerkingsverantwoordelijke bepaalt het doel en de middelen waarvoor de persoonsgegevens worden verwerkt. Voorbeelden van een verwerkingsverantwoordelijke zijn de werkgever die personeelsgegevens verwerkt, de exploitant van een webshop die klantgegevens verwerkt of een school van haar leerlinggegevens. De verwerker verwerkt persoonsgegevens voor de verwerkingsverantwoordelijke. Hierna zal ik ingaan op hoe je erachter kunt komen wie uw verwerkers zijn en welke afspraken gemaakt moeten worden.
Wie zijn verwerkers?
Indien een organisatie gebruik maakt van diensten van een externe partij en in dat kader daarvan persoonsgegevens verstrekt aan deze externe partij, dan kan dit een verwerker zijn. Je kunt hierbij denken aan de werkgever die zijn salarisadministratie uitbesteedt aan een salarisadministratiekantoor. Andere voorbeelden van verwerkers zijn cloud providers en IT-leveranciers.
Hoe kom je er achter wie uw verwerkers zijn? Dat kan door middel van deze drie stappen:
- Inventariseren welke externe partijen diensten voor jou verrichten;
- Nagaan of in het kader van de dienstverlening ook persoonsgegevens aan de externe partij(en) worden verstrekt;
- Controleren of de externe partij de persoonsgegevens niet ook voor zijn eigen doeleinden verwerkt
Niet alle externe partijen waaraan je persoonsgegevens verstrekt zijn verwerker. Als uit de derde stap blijkt dat de externe partij ook persoonsgegevens verwerkt voor zijn eigen doeleinden is hij geen verwerker, maar eveneens verwerkingsverantwoordelijke. Dit kan bijvoorbeeld het geval zijn wanneer de externe partij de persoonsgegevens gebruikt om rapportages of analyses te maken om zijn eigen dienstverlening te verbeteren. Welke rol een partij heeft is van belang om te bepalen welke verplichtingen op basis van de privacyregelgeving op hem rusten en welke afspraken je moet maken.
Verschil in verplichtingen
De verwerkingsverantwoordelijke blijft verantwoordelijk voor de verwerking van persoonsgegevens, ook al wordt de verwerking uitbesteed. De privacyregelgeving is zo ingericht dat op de verwerkingsverantwoordelijke alle wettelijke verplichtingen rusten. Op een verwerker rusten veel minder wettelijke verplichtingen. De verwerker mag alleen persoonsgegevens verwerken als de verwerkingsverantwoordelijke hiervoor schriftelijk opdracht heeft gegeven. Ook mag de verwerker zonder toestemming van de verwerkingsverantwoordelijke geen eigen dienstverleners inschakelen die toegang krijgen tot de persoonsgegevens. Verder heeft de verwerker een eigen verplichting om te zorgen voor passende beveiliging. Onder de AVG zal voor de verwerker ook de documentatieplicht gelden, waar wij in deel 1 over hebben geschreven. Maar een verwerker heeft bijvoorbeeld niet de verplichting om betrokkenen te informeren, verzoeken van betrokkenen uit te voeren of datalekken te melden bij de Autoriteit Persoonsgegevens.
Afspraken
De verwerkingsverantwoordelijke en de verwerker zijn verplicht om in een overeenkomst afspraken over de omgang met deze persoonsgegevens vast te leggen, ook wel verwerkersovereenkomst genoemd. In de AVG staat beschreven welke afspraken er ten minste moeten worden gemaakt. De afspraken in een verwerkersovereenkomst zien op onder meer de volgende onderwerpen:
- Informatie over de verwerking: zoals het onderwerp, de duur, de aard en het doel, het soort persoonsgegevens en de categorieƫn van betrokkenen;
- de verwerker mag de persoonsgegevens uitsluitend verwerken op basis van uw schriftelijke instructies en niet voor zijn eigen doelen;
- de verwerker moet vertrouwelijk omgaan met de door hem ontvangen persoonsgegevens en ervoor zorgen dat haar werknemers dat ook doen;
- de verwerker neemt voldoende beveiligingsmaatregelen en moet aangeven welke beveiligingsmaatregelen hij heeft getroffen;
- de verwerker moet je zo snel mogelijk informeren over ieder datalek dat betrekking heeft op de persoonsgegevens die voor jou worden verwerkt, met afspraken over wie een datalek meldt en hoe de communicatie tussen partijen moet verlopen;
- de verwerker zal bij beƫindiging van de opdracht zorgdragen voor het wissen van de persoonsgegevens of deze overdragen aan u;
- de verwerker kan uitsluitend derden inschakelen met uw toestemming en zal met derden een soortgelijke overeenkomst sluiten;
- de verwerker mag de persoonsgegevens niet buiten de Europese Economische Ruimte verwerken, tenzij jij hier schriftelijke toestemming voor heeft gegeven.
In deze checklist vind je een overzicht van de afspraken die je moet maken in verwerkersovereenkomsten. Let op! Ook in het geval dat de externe partij eveneens verwerkingsverantwoordelijke is, vereist de privacyregelgeving dat bepaalde afspraken gemaakt worden over de omgang met persoonsgegevens. Die afspraken zijn wel beperkter, omdat beide partijen volledig zullen moeten voldoen aan de AVG.