We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
Er is bijna geen IT-project voor te stellen waarbij geen persoonsgegevens worden verwerkt. Op het moment dat persoonsgegevens worden verwerkt, zijn zowel de verwerkingsverantwoordelijke als de verwerker op grond van artikel 28 AVG verplicht om een verwerkersovereenkomst op te stellen. Naleving van deze wettelijke verplichting is van belang, al is het maar dat omdat het enkele feit dat geen verwerkersovereenkomst is gesloten kan leiden tot een boete van de Autoriteit Persoonsgegevens. Wanneer ben je nu ‘verwerkingsverantwoordelijke’ of ‘verwerker’ en welke eisen worden aan een verwerkersovereenkomst gesteld?
Op het moment dat er verschillende partijen betrokken zijn bij een verwerking van persoonsgegevens, gaat de AVG uit van een rolverdeling. Een van de belangrijke begrippen bij deze rolverdeling is de verwerkingsverantwoordelijke. Dit is de partij die het doel en de middelen van het gebruik van persoonsgegevens bepaalt.[1] Een ander belangrijk begrip is verwerker. Een verwerker verwerkt de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke.[2] Een voorbeeld van een verwerker is een salarisadministratiekantoor. Ook een SaaS-dienstaanbieder of hostingprovider die persoonsgegevens verwerkt kwalificeert (in beginsel) als verwerker. (Er kan ook nog sprake zijn van een gezamenlijke verantwoordelijkheid, maar dat laten we omwille van het geven van een helder en beknopt overzicht buiten beschouwing).
Het is van belang dat partijen zich bewust zijn van hun rol. De AVG stelt immers verschillende wettelijke eisen aan de invulling van deze rollen. In de praktijk blijkt echter dat het niet altijd eenvoudig is de juiste rol te kwalificeren. Het risico dat partijen in dat geval lopen is dat zij te veel of juiste te weinig verplichtingen op zich nemen. In het eerste geval trekken zij meer verantwoordelijkheid (en uiteindelijk ook meer kans op aansprakelijkheid) naar zich toe dan noodzakelijk. In het tweede geval voldoen zij niet aan hun wettelijke verplichtingen. In beide gevallen is dit niet zonder risico.
Het sluiten van een verwerkersovereenkomst tussen verwerkingsverantwoordelijke en verwerker(s) is wettelijk verplicht. Een wijdverbreid misverstand is dat alleen de verwerkingsverantwoordelijke de verplichting heeft zorg te dragen voor een verwerkersovereenkomsten. Dit is niet juist. Deze wettelijke verplichting rust zowel op de verwerkersverantwoordelijke als op de verwerker. Welke afspraken moeten nu worden opgenomen in een verwerkersovereenkomst? De volgende zaken dienen in ieder geval te worden geregeld:
Daarnaast moet de overeenkomst:
Het staat partijen vrij om deze zaken gedetailleerder te regelen. Zo kunnen partijen bijvoorbeeld specifieke voorwaarden afspreken waaronder verwerker zijn verwerkingsdiensten wel uit mag besteden aan sub-verwerkers. Ook is het gebruikelijk een lijst op te nemen van de beveiligingsmaatregelen die ten minste verwacht worden van de verwerker.
Naast de bepalingen die op grond van de wet in ieder geval moeten worden opgenomen in een verwerkersovereenkomst, is het raadzaam om bepalingen op te nemen over aansprakelijkheid en vrijwaring. Hoe gaan partijen om met een boete die opgelegd worden door de Autoriteit Persoonsgegevens als sprake is van niet-naleving van de AVG? Ook is het raadzaam nadere (procedure)afspraken te maken over datalekken. Hoe te handelen in geval van een datalek? Bij wie en hoe moet een datalek worden gemeld? Welke informatie moet in dat geval worden gedeeld, etc.?
Heeft u vragen over het succesvol uitvoeren van ICT-projecten, neem dan contact op met Natascha van Duuren, partner & advocaat IT, Privacy & Cybersecurity.
De inhoud van deze blog is onderdeel van ‘ICT Projecten: een praktische handreiking’, een bundeling van artikelen over het succesvol uitvoeren van een ICT-project. Klik hier om de praktische handreiking te downloaden.
Wil je elke maand een overzicht van updates en blogs in je mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!