Stap 8. Inschakelen verwerker
Wat moet ik doen als anderen gegevens voor mij gaan verwerken?
Als je bij de verwerking van persoonsgegevens gebruik maakt van de diensten van andere partijen gelden hiervoor specifieke eisen. Kort gezegd heb jij, als verwerkingsverantwoordelijke, de wettelijke verantwoordelijkheid om te zorgen voor voldoende garanties dat ook de andere partijen, de verwerkers, aan de privacyregels voldoen en dat zij de persoonsgegevens niet voor eigen doelen verwerken. Je regelt dit in een verwerkersovereenkomst. Wij hebben hiervoor een modeltekst voor je gemaakt.
Wanneer moet je verwerkersovereenkomst sluiten?
Je moet een verwerkersovereenkomst sluiten als je verwerkingsverantwoordelijke bent en een deel van je gegevensverwerking regelt met externe verwerkers.
- De ‘verwerkingsverantwoordelijke’ is degene die het doel en de middelen voor de gegevensverwerking vaststelt. Met andere woorden: de verwerkingsverantwoordelijke bepaalt het waarom en hoe van de gegevensverwerking.
- De ‘verwerker’ heeft geen zeggenschap over het doel en de middelen van de gegevensverwerking. Een verwerker handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke, waarbij de verwerking de primaire opdracht is, maar staat niet rechtstreeks onder het gezag van verwerkingsverantwoordelijke.
Het komt in de praktijk regelmatig voor dat een verwerker de middelen voor de gegevensverwerking kiest, die zijn namelijk inherent aan zijn dienstverlening. Toch is het de verwerkersverantwoordelijke die feitelijk impliciet de middelen bepaalt, door zijn keuze voor die specifieke verwerker. Bovendien kan de verwerker niet zelf bepalen wat er met de persoonsgegevens gebeurt. Hierover heeft hij als verwerker geen zeggenschap. Voorbeelden van een verwerker:
- je systeemhuis waar de data niet op je eigen servers worden opgeslagen
- een externe vergelijkingstool of adviesapplicatie voor je website
- cloud-dienstleveranciers
- externe salarisadministrateurs
Je bent dus de verwerkingsverantwoordelijke als jij degene bent die daadwerkelijk de beslissingen neemt ten aanzien van de gegevensbescherming en bepaalt wat er feitelijk met de gegevens gebeurt. De Autoriteit Persoonsgegevens geeft de volgende concrete handvaten om te bepalen of een partij ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is, namelijk:
‘Verwerkingsverantwoordelijke’ ben je als je bepaalt:
- welke gegevens worden verzameld;
- met welk doel;
- de manier waarop.
Let op! De verwerkingsverantwoordelijke is de rechtspersoon die de gegevens verwerkt en niet de individuele werknemer die persoonsgegevens binnen het bedrijf verwerkt. Formeel-juridisch is de rechtspersoon immers degenen die de beslissingsbevoegdheid heeft.
Bijzondere situatie #1: Werkgevers en hun adviseur
Werkgevers leveren vaak persoonsgegevens van werknemers in het kader van bijvoorbeeld een pensioenregeling of een verzuimverzekering. Ook in die situatie ben je als adviseur zelf verwerkersverantwoordelijke. Uit de AVG en de toelichting blijkt dat je als adviseur ‘verwerkingsverantwoordelijke’ bent wanneer het verwerken van gegevens niet de primaire opdracht is, maar een uitvloeisel van een andere vorm van dienstverlening. Het adviseren en bemiddelen bij regelingen voor werknemers voldoet hieraan en dus is een verwerkersovereenkomst niet nodig. Werkgevers moeten echter kunnen verantwoorden dat ze aan de AVG voldoen. Je kunt de werkgever daarom een verklaring geven die hij in zijn privacy-dossier kan bewaren.
Bijzondere situatie #2: Adviseurs en verzekeraars
Zowel de verzekeraar als de adviseur/bemiddelaar hebben eigen dienstverlening, waarvoor ieder voor de eigen situatie zelf bepaalt wat het doel en de middelen zijn van de gegevensverwerking. Er is geen sprake van dat de ene partij in opdracht van de andere partij persoonsgegevens verwerkt. Daarmee is duidelijk dat er geen noodzaak bestaat om zgn. verwerkersovereenkomsten tussen de partijen te sluiten.
Meer info vind je in deze circulaire voor de verzekeraars die wij hierover samen met het Verbond hebben opgesteld.
Wat moet je in Verwerkersovereenkomst regelen?
Bij het inschakelen van een verwerker ben je verplicht om de uitvoering van de verwerkingen te regelen in een overeenkomst of andere rechtshandeling. Gebruikelijk hiervoor is het sluiten van een verwerkersovereenkomst. De overeenkomst moet schriftelijk of elektronisch zijn vastgelegd.
Het opstellen van een verwerkersovereenkomst dient ertoe dat de verplichtingen die vanuit de Verordening op de verwerkersverantwoordelijke rusten, ook door de verwerker worden nageleefd. De verwerkingsverantwoordelijke blijft aanspreekbaar voor de gegevens die onder zijn verantwoordelijkheid door de verwerker worden verwerkt.
In een verwerkersovereenkomst maakt de verwerkingsverantwoordelijke goede afspraken met de verwerker, zodat de verwerkingsverantwoordelijke bij het uitbesteden van de gegevensverwerking aan zijn verplichtingen kan voldoen. De verwerkingsverantwoordelijke moet kunnen aantonen dat hij via de verwerkersovereenkomst goede afspraken heeft gemaakt met de verwerker.
In deze overeenkomst moeten minimaal de volgende zaken worden geregeld:
- het onderwerp, de duur, de aard en het doel van de verwerking
- het soort persoonsgegevens en de categorieën betrokkenen
- de rechten en plichten van de verwerkingsverantwoordelijke
- dat de gegevensverwerking uitsluitend op basis van jouw schriftelijke instructies gebeurt en de verwerker de persoonsgegevens niet voor eigen doeleinden mag gebruiken
- afspraken over passende beveiligingsmaatregelen
- afspraken over ondersteuning voor zover mogelijk om verplichtingen na te komen i.v.m. verzoeken op grond van rechten van betrokkenen
- afspraken over de vertrouwelijke omgang met gegevens door gemachtigden
- afspraken met betrekking tot sub-verwerkers (noodzakelijkheid toestemming)
- afspraken over het ter beschikking stellen van informatie om te kunnen controleren of de verwerker zich houdt aan de overeenkomst
- afspraken over de beëindiging van de overeenkomst, De verwerker moet de persoonsgegevens dan wissen of teruggeven.
Wat moet je regelen als verwerkers uitbesteden aan sub-verwerker?
Wanneer een verwerker de verwerking van persoonsgegevens uitbesteedt aan een derde partij of onderaannemer, dan wordt deze partij een sub-verwerker genoemd. Om te borgen dat je als verwerkingsverantwoordelijke altijd het overzicht houdt op de verwerkingen buiten de directe invloedssfeer, is de verwerker verplicht voorafgaand aan het inschakelen van een sub-verwerker schriftelijke toestemming van de verwerkingsverantwoordelijke te verkrijgen.
Per sub-verwerker kan specifiek toestemming worden gevraagd. Het is ook mogelijk om een algemene toestemming te geven, bijvoorbeeld door functioneel te omschrijven wat uitbesteed mag worden aan een sub-verwerker. In dat geval moet de verwerker je wel informeren over de ingezette sub-verwerker. Je hebt als verwerkingsverantwoordelijke dan wel het recht om bezwaar te maken. Bij bezwaar zal de verwerker de sub-verwerker niet mogen inzetten.
Wanneer de verwerker een sub-verwerker inschakelt moet hij de verplichtingen uit de verwerkersovereenkomst ook opleggen aan de sub-verwerker. De verwerker blijft richting de verwerkingsverantwoordelijke volledig aansprakelijk voor de naleving van de verplichtingen van de Verordening en verwerkersovereenkomst door de sub-verwerker.
Verwerking buiten EU
In het geval een verwerker buiten de EU gevestigd is, moet deze in beginsel altijd een vertegenwoordiger hebben die in de EU is gevestigd.