GDPR en de verwerker
De verwerker is volgens de GDPR “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”.
We herinneren er nog eens aan dat persoonsgegevens enkel kan slaan op natuurlijke personen. Betreft het de verwerking van gegevens betreffende rechtspersonen dan is de GDPR niet van toepassing.
Deze definitie is uitermate ruim, omdat als verwerking wordt aanzien een bewerking zoals o.a. het verzamelen, ordenen, structureren, raadplegen, gebruiken of zelfs opslaan van persoonsgegevens.
Dit laatste leidt ertoe dat vele tussenpersonen van data als verwerker zullen aanzien worden.
Dit heeft tot gevolg dat in alle gevallen waarin een tussenpersoon persoonsgegevens nog maar (al dan niet zeer kort en tijdelijk) opslaat, hij als verwerker wordt aanzien en dus moet voldoen aan de verplichtingen die de Verordening van 27 april 2016 oplegt en dit met ingang van 25 mei 2018.
Verplichtingen verwerker
Op de verwerker rusten tal van (soms verregaande) verplichtingen zoals het beveiligen van de persoonsgegevens en het bijhouden van een register.
Belangrijk is dat tussen de verwerkingsverantwoordelijke (m.n. de instantie die het doel en de middelen van de verwerking vastlegt en in de meeste gevallen ook de persoonsgegevens heeft verzameld) en de verwerker verplicht een overeenkomst moet opgesteld worden die vastlegt:
a. Het onderwerp en de duur van de verwerking;
b. De aard en het doel van de verwerking;
c. Het soort persoonsgegevens en de categorieën van natuurlijke personen;
d. De rechten en verplichtingen van de verwerking;
e. De rechten en verplichtingen van de verwerkingsverantwoordelijke;
Inhoud en voorbeeld verwerkersovereenkomst
Alleszins moet de overeenkomst met betrekking tot de verwerker zeker het volgende bepalen:
a. De instructies om persoonsgegevens te verwerken;
b. Waarborgen dat gemachtigde personen de vertrouwelijkheid in acht nemen;
c. Afdoende beveiligingsmaatregelen moeten genomen worden;
d. Subverwerkers moeten voldoen aan de in de verordening gestelde voorwaarden;
e. De verwerker moet bijstand verlenen wanneer de betrokken natuurlijke personen hun rechten willen uitoefenen;
f. Bijstand moet verleend worden bij de persoonsgegevensbeveiliging;
g. Bepalen wat er na afloop met de persoonsgegevens gebeurt;
h. Alle informatie ter beschikking stellen en audits mogelijk maken;
Belangrijke aspecten bij deze overeenkomst zijn o.a. het bepalen van de beveiligingsmaatregelen en de kosten om uitvoering te geven aan de verplichtingen die rusten op de verwerker. De verwerkersovereenkomst moet steeds op maat gemaakt worden in functie van het gebruik. Daarom is het niet verstandig een algemeen voorbeeld te hanteren.
Onze advocaten helpen U graag verder bij het aanleveren van een voorbeeld of ontwerp van een verwerkingsovereenkomst op maat of advies om Uw overeenkomsten conform GDPR te maken.
