Verwerkersovereenkomst voor persoonsgegevens
Wanneer je persoonsgegevens laat verwerken door een externe partij (‘de verwerker’) heb je een verwerkersovereenkomst nodig. Het is erg waarschijnlijk dat jouw bedrijf bepaalde persoonsgegevens door een derde laat verwerken. Denk maar aan een sociaal secretariaat dat jouw loonsadministratie doet. Of een hosting provider die jouw website host.
In een verwerkersovereenkomst worden verschillende afspraken vastgelegd, waaronder:
In een verwerkersovereenkomst worden verschillende afspraken vastgelegd, waaronder:
- het doel van de verwerking
- aansprakelijkheid
- geheimhouding
- subverwerkers
Wanneer is een verwerkersovereenkomst verplicht?
Op basis van de General Data Protection Regulation (GDPR) ben je verplicht om een verwerkersovereenkomst te sluiten wanneer je persoonsgegevens door een externe partij laat verwerken. Doe je dat niet, riskeer je een boete te krijgen.
Wat zijn persoonsgegevens?
Heel eenvoudig gezegd, zijn persoonsgegevens zijn alle gegevens over een persoon. En dat mag je heel breed opvatten. Het gaat namelijk niet alleen om mensen hun naam, telefoonnummer en dergelijke. Het gaat om elk gegeven op basis waarvan je iemand kunt identificeren. Een uniek nummer, een adres, een IP-adres, een rijksregisternummer, … Dit zijn allemaal persoonsgegevens. Ook wanneer ze door bijvoorbeeld versleuteling geanonimiseerd zijn. Daarnaast gelden alle gegevens die in jouw database gekoppeld zijn aan zulke identificerende gegevens, ook als persoonsgegevens.
Wat is ‘verwerken’?
Ook dit is in een verwerkersovereenkomst een ruim begrip. ‘Verwerken’ is alles wat je met persoonsgegevens kan doen. Hier vallen heel wat handelingen onder. Enkele voorbeelden: persoonsgegevens verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, vernietigen en noem maar op.
Verschil tussen verwerker en verwerkingsverantwoordelijke
Bij een verwerkersovereenkomst spreekt je van een verwerkingsverantwoordelijke en een verwerker.
De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Enkele voorbeelden van verantwoordelijkheden van een verwerkingsverantwoordelijke:
De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Enkele voorbeelden van verantwoordelijkheden van een verwerkingsverantwoordelijke:
- Persoonsgegevens verzamelen en de grondslag daarvoor
- Het type persoonsgegevens dat verzameld wordt vastleggen
- De reden voor het verzamelen van persoonsgegevens vastleggen
- Bepalen of de persoonsgegevens vrijgegeven worden aan derden
- De bewaartermijn van de persoonsgegevens bepalen
- De mogelijkheid voorzien om gegevens te wijzigen (aanpassen of verwijderen)
- …
Een verwerker is een natuurlijke persoon of een rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Enkele voorbeelden van verantwoordelijkheden van een verwerker:
- Vastleggen welke IT-systemen of andere methodes gebruikt worden om persoonsgegevens te verzamelen
- Bepalen hoe de persoonsgegevens opgeslagen worden
- Veiligheidsmaatregelen vastleggen
- Vastleggen hoe de persoonsgegevens overdragen worden tussen partijen
- De manier waarop de persoonsgegevens verwijderd worden bepalen
- …
Je kan in verschillende verwerkersovereenkomsten zowel verwerker als verwerkingsverantwoordelijke zijn. In dit geval zal je waarschijnlijk verwerker en verantwoordelijke zijn met betrekking tot twee verschillende sets van persoonsgegevens of twee verschillende soorten van verwerking (bv. een hostingbedrijf dat omgaat met persoonsgegevens van zijn klant, en tegelijkertijd de eigen loonadministratie uitbesteedt).