GDPR verwerkingsovereenkomst opmaken: “In praktijk nog veel onduidelijkheden”

De GDPR verplicht verwerkingsverantwoordelijken om een verwerkingsovereenkomst af te sluiten met verwerkers waarmee ze persoonsgegevens uitwisselen. In de praktijk bestaat er echter nog veel onduidelijkheid over wie nu echt een verwerker is en tot waar ieders verantwoordelijkheden reiken. Wij gingen op zoek naar antwoorden bij Dirk De Bot, docent bij Data Protection Institute met 25 jaar ervaring als juridisch specialist op vlak van gegevensbescherming.

“Er bestaan veel misverstanden over wie nu precies een verwerker van persoonsgegevens is”, zegt De Bot. “Veel ondernemingen nemen het zekere voor het onzekere en laten al hun contractanten een verwerkersovereenkomst tekenen. Als we de regelgeving erop nakijken is nochtans niet elke contractant automatisch een verwerker.”

Drie voorwaarden om als verwerker beschouwd te worden

Er zijn drie voorwaarden waaraan een partij moet voldoen om als verwerker te worden beschouwd.

  1. Activiteiten uitvoeren ten behoeve van verwerkingsverantwoordelijke

“Een partij kan pas als een verwerker beschouwd worden als ze ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Er moet m.a.w. een uitbesteding zijn van activiteiten door de verantwoordelijke. Het gaat hierbij om taken die de verantwoordelijke strikt genomen zelf zou kunnen doen, maar die hij doelbewust uitbesteedt. Denk bv. aan een sociaal secretariaat.

Sommige activiteiten kan een verwerkingsverantwoordelijke onmogelijk zelf doen. Voor het aanleggen en waarborgen van een aanvullend pensioen kan je bv. niet anders dan beroep doen op een verzekeringsmaatschappij. In dat geval is deze laatste geen verwerker.”

  1. Verwerken van persoonsgegevens is hoofdzaak

“Om als verwerker te worden beschouwd, moet het verwerken van persoonsgegevens een hoofdtaak zijn in de activiteiten van de contractant. Een bloemenzaak die bloemen aflevert aan het thuisadres van werknemers, gebruikt wel persoonsgegevens om de bloemen te bezorgen. Die verwerking vormt echter geen hoofdzaak in de samenwerking. De bloemenzaak kan dus niet beschouwd worden als verwerker, maar wordt zelf verantwoordelijk geacht voor het verwerken van de persoonsgegevens in het kader van de dienstverlening.”

  1. Ten behoeve van verwerkingsverantwoordelijke

“Alleen als een partij activiteiten uitvoert ten behoeve  van de verwerkingsverantwoordelijke, kan ze beschouwd worden als verwerker. Wie persoonsgegevens verwerkt onder gezag van de verwerkingsverantwoordelijke, is geen verwerker.”

 

Alles weten over de juridische aspecten van de GDPR?

Ontdek de GDPR Master Class Legal Aspects

 

Verwerkingsovereenkomst opstellen: hier moet je op letten

De GDPR verplicht elke verwerkingsverantwoordelijke om overeenkomsten af te sluiten met de verwerkers waarop hij/zij een beroep doet. De GDPR wetgeving somt de verplichte elementen van zo’n overeenkomst op, maar deze kunnen in praktijk best worden aangevuld. “Hoewel er strikt genomen geen afspraken over kosten en aansprakelijkheden moeten worden opgenomen, raad ik alle partijen aan om deze thema’s mee op te nemen in de verwerkingsovereenkomst”, aldus De Bot.

Kosten

“De verantwoordelijkheden als verwerker kunnen  extra kosten meebrengen. Bv. wanneer een persoon vraagt welke gegevens er precies over hem/haar verwerkt worden of wanneer een datalek gemeld moet worden. De afspraken rond deze kosten leg je best vast in de verwerkingsovereenkomst. Zo is het voor beide partijen duidelijk hoeveel er mag aangerekend worden voor welke verwerkersactiviteiten.”

Aansprakelijkheden

“Aansprakelijkheden moeten  onderling tussen verwerkingsverantwoordelijken en verwerkers bepaald worden.

Globaal gezien is een verwerker aansprakelijk voor schade t.a.v. natuurlijke personen als gevolg van overtredingen in zijn/haar verplichtingen als verwerker. Deze aansprakelijkheid kan niet uitgesloten worden ten aanzien van de betrokkene, maar mogelijks wel worden beperkt in de verwerkingsovereenkomst. Daarbij  kan je  een onderscheid maken tussen rechtstreekse en onrechtstreekse verplichtingen van de verwerker, waarbij alleen de rechtstreekse aanleiding kunnen geven tot een aansprakelijkheid.”

Naleving

“Veel verwerkingsverantwoordelijken stellen wel een verwerkingsovereenkomst op, maar zien vervolgens niet toe op de naleving ervan. Nochtans is het belangrijk om te controleren of je verwerkers alle verplichtingen nakomen om problemen te vermijden. Je kan bv. afspreken dat er periodiek een audit wordt uitgevoerd tijdens de kantooruren en dat de kosten gedragen worden door de partij die de audit organiseert. Je neemt deze controlemaatregelen best op in de overeenkomst.”

Oplossing voor verwerkers: het verwerkingscharter

“Het vastleggen van een verwerkingsovereenkomst is niet altijd evident. Als verwerker kan je ook zelf een verwerkingscharter opstellen. Dit charter is een eenzijdige verbintenis waarin je jouw rechten en (vooral) plichten als verwerker vastlegt. Wanneer iemand beroep doet op jouw diensten, volstaat het om te verwijzen naar het verwerkingscharter om de bepalingen van de GDPR na te leven..”

 

Wil jij jouw juridische GDPR-kennis uitbreiden?

Registreer je nu voor GDPR Master Class Legal Aspects