De GDPR verplicht verwerkingsverantwoordelijken om een verwerkingsovereenkomst af te sluiten met verwerkers waarmee ze persoonsgegevens uitwisselen. In de praktijk bestaat er echter nog veel onduidelijkheid over wie nu echt een verwerker is en tot waar ieders verantwoordelijkheden reiken. Wij gingen op zoek naar antwoorden bij Dirk De Bot, docent bij Data Protection Institute met 25 jaar ervaring als juridisch specialist op vlak van gegevensbescherming.<\/p>\n
\u201cEr bestaan veel misverstanden over wie nu precies een verwerker van persoonsgegevens is\u201d, zegt De Bot. \u201cVeel ondernemingen nemen het zekere voor het onzekere en laten al hun contractanten een verwerkersovereenkomst tekenen. Als we de regelgeving erop nakijken is nochtans niet elke contractant automatisch een verwerker.\u201d<\/p>\n
Er zijn drie voorwaarden waaraan een partij moet voldoen om als verwerker te worden beschouwd.<\/p>\n
\u201cEen partij kan pas als een verwerker beschouwd worden als ze ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Er moet m.a.w. een uitbesteding zijn van activiteiten door de verantwoordelijke. Het gaat hierbij om taken die de verantwoordelijke strikt genomen zelf zou kunnen doen, maar die hij doelbewust uitbesteedt. Denk bv. aan een sociaal secretariaat.<\/p>\n
Sommige activiteiten kan een verwerkingsverantwoordelijke onmogelijk zelf doen. Voor het aanleggen en waarborgen van een aanvullend pensioen kan je bv. niet anders dan beroep doen op een verzekeringsmaatschappij. In dat geval is deze laatste geen verwerker.\u201d<\/p>\n
\u201cOm als verwerker te worden beschouwd, moet het verwerken van persoonsgegevens een hoofdtaak zijn in de activiteiten van de contractant. Een bloemenzaak die bloemen aflevert aan het thuisadres van werknemers, gebruikt wel persoonsgegevens om de bloemen te bezorgen. Die verwerking vormt echter geen hoofdzaak in de samenwerking. De bloemenzaak kan dus niet beschouwd worden als verwerker, maar wordt zelf verantwoordelijk geacht voor het verwerken van de persoonsgegevens in het kader van de dienstverlening.\u201d<\/p>\n
\u201cAlleen als een partij activiteiten uitvoert ten behoeve \u00a0van de verwerkingsverantwoordelijke, kan ze beschouwd worden als verwerker. Wie persoonsgegevens verwerkt onder gezag van de verwerkingsverantwoordelijke, is geen verwerker.”<\/p>\n
De GDPR verplicht elke verwerkingsverantwoordelijke om overeenkomsten af te sluiten met de verwerkers waarop hij\/zij een beroep doet. De GDPR wetgeving somt de verplichte elementen van zo\u2019n overeenkomst op, maar deze kunnen in praktijk best worden aangevuld. \u201cHoewel er strikt genomen geen afspraken over kosten en aansprakelijkheden moeten worden opgenomen, raad ik alle partijen aan om deze thema\u2019s mee op te nemen in de verwerkingsovereenkomst\u201d, aldus De Bot.<\/p>\n
Kosten<\/strong><\/p>\n \u201cDe verantwoordelijkheden als verwerker kunnen \u00a0extra kosten meebrengen. Bv. wanneer een persoon vraagt welke gegevens er precies over hem\/haar verwerkt worden of wanneer een datalek gemeld moet worden. De afspraken rond deze kosten leg je best vast in de verwerkingsovereenkomst. Zo is het voor beide partijen duidelijk hoeveel er mag aangerekend worden voor welke verwerkersactiviteiten.\u201d<\/p>\n Aansprakelijkheden<\/strong><\/p>\n \u201cAansprakelijkheden moeten\u00a0 onderling tussen verwerkingsverantwoordelijken en verwerkers bepaald worden.<\/p>\n Globaal gezien is een verwerker aansprakelijk voor schade t.a.v. natuurlijke personen als gevolg van overtredingen in zijn\/haar verplichtingen als verwerker. Deze aansprakelijkheid kan niet uitgesloten worden ten aanzien van de betrokkene, maar mogelijks wel worden beperkt in de verwerkingsovereenkomst. Daarbij \u00a0kan je \u00a0een onderscheid maken tussen rechtstreekse en onrechtstreekse verplichtingen van de verwerker, waarbij alleen de rechtstreekse aanleiding kunnen geven tot een aansprakelijkheid.\u201d<\/p>\n Naleving<\/strong><\/p>\n \u201cVeel verwerkingsverantwoordelijken stellen wel een verwerkingsovereenkomst op, maar zien vervolgens niet toe op de naleving ervan. Nochtans is het belangrijk om te controleren of je verwerkers alle verplichtingen nakomen om problemen te vermijden. Je kan bv. afspreken dat er periodiek een audit wordt uitgevoerd tijdens de kantooruren en dat de kosten gedragen worden door de partij die de audit organiseert. Je neemt deze controlemaatregelen best op in de overeenkomst.\u201d<\/p>\n \u201cHet vastleggen van een verwerkingsovereenkomst is niet altijd evident. Als verwerker kan je ook zelf een verwerkingscharter opstellen. Dit charter is een eenzijdige verbintenis waarin je jouw rechten en (vooral) plichten als verwerker vastlegt. Wanneer iemand beroep doet op jouw diensten, volstaat het om te verwijzen naar het verwerkingscharter om de bepalingen van de GDPR na te leven..\u201d<\/p>\n","protected":false},"excerpt":{"rendered":" GDPR verwerkingsovereenkomst opmaken: \u201cIn praktijk nog veel onduidelijkheden\u201d De GDPR verplicht verwerkingsverantwoordelijken om een verwerkingsovereenkomst af te sluiten met verwerkers waarmee ze persoonsgegevens uitwisselen. In de praktijk bestaat er echter nog veel onduidelijkheid over wie nu echt een verwerker is en tot waar ieders verantwoordelijkheden reiken. Wij gingen op zoek naar antwoorden bij Dirk De […]<\/p>\n","protected":false},"author":4,"featured_media":7177,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[30,20],"tags":[],"class_list":["post-7180","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dpo","category-nieuws"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts\/7180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/comments?post=7180"}],"version-history":[{"count":16,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts\/7180\/revisions"}],"predecessor-version":[{"id":13613,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/posts\/7180\/revisions\/13613"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/media\/7177"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/media?parent=7180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/categories?post=7180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/nl\/wp-json\/wp\/v2\/tags?post=7180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Oplossing voor verwerkers: het verwerkingscharter<\/h2>\n