Carmen Graauwmans / 9 april 2018

De verwerkersovereenkomst [blog 8/10]

De wereld digitaliseert en organisaties krijgen te maken met steeds meer data. Veel van die data wordt gedeeld met partners, zoals de leveranciers van software. Maar wat als je partner een datalek veroorzaakt met de persoonsgegevens van jouw klanten?

Verantwoordelijke en verwerker

De GDPR onderscheidt bij het verwerken van persoonsgegevens twee rollen: de verantwoordelijke en de verwerker. De verantwoordelijke is eigenaar van de data en bepaalt het doel van de verwerking (bijvoorbeeld e-mailadressen voor de nieuwsbrief) en de verwerker verwerkt ze om dat doel te dienen (bijvoorbeeld e-mailmarketingsoftware). De verantwoordelijke en de verwerker moeten verplicht een verwerkersovereenkomst afsluiten waarin de details van de samenwerking staan beschreven in veertien onderdelen.

De 14 onderdelen van de verwerkersovereenkomst

De verplichte verwerkersovereenkomst bevat de volgende onderdelen:

  • Omschrijving van de verwerking;
  • Aard van de verwerking;
  • Duur van de verwerking;
  • Doel van de verwerking;
  • Bepaling van het doel. De verantwoordelijke bepaalt die, de verwerker mag enkel dat doel dienen;
  • Type verwerkte persoonsgegevens;
  • Geheimhoudingsplicht van de verwerker;
  • Beschrijving van zowel de technische als organisatorische beveiligingsmaatregelen;
  • Of en welke sub-verwerkers betrokken zijn;
  • Rechten van betrokkenen;
  • Meldingsplicht bij datalek;
  • Afhandeling bij beëindiging overeenkomst;
  • Recht van een audit;
  • Aansprakelijkheid.

Dit laatste punt kan met recht last but not least genoemd worden. Daar zoomen we verder op in.

Aansprakelijkheid in de verwerkersovereenkomst

We gaan even terug naar het voorbeeld van zojuist. Een partner veroorzaakt een datalek waardoor de data van jouw klanten op straat komt te liggen. Nog los van de schuldvraag; als verantwoordelijke van de data ben je aansprakelijk voor de gevolgen. Daarom is de verwerkersovereenkomst zo belangrijk. Daarin leg je vast wie welke verantwoordelijkheid heeft voor de gevolgen van een datalek, maar ook over de afhandeling van de eerste 72 uur na het ontdekken van het datalek – de periode waarin je als verantwoordelijke moet voldoen aan de meldplicht datalekken.

Een druk op de knop

Een verantwoordelijke moet kunnen bouwen op de werkwijze van de partner met wie de data gedeeld wordt. Hun bedrijfsproces bepaalt in grote mate of jij kunt voldoen aan de meldplicht datalekken. Ideaal gezien heeft je partner privacy integraal opgenomen in hun ontwerp, dit wordt ook wel privacy by design genoemd, en kunnen ze je met één druk op de knop adequaat voorzien van de vereiste gegevens.

Privacy als USP

Als het om privacy gaat, hebben klanten vanaf 25 mei wat te kiezen. Het is aan organisaties zelf om hier iets mee te doen. Als je privacy hoog in het vaandel hebt staan, is het aan te raden partners te selecteren met een gedeelde visie op privacy. Als je dit doet, zeg je in principe tegen je klanten: met ons kun je veilig zaken doen. En zo wordt privacy een USP.

Vragen over de verwerkersovereenkomst

Xcellent helpt klanten en niet-klanten om zich gereed te maken voor de veranderende wet. Neem bij vragen contact op met onze informatiebeveiligingspecialisten. We helpen je graag.

Blog 9, Leidende toezichthouder, verschijnt op 16 april op ons blog.

Carmen Graauwmans
Wil je meer weten over de verwerkersovereenkomst, stuur mij een bericht en ik neem contact met je op.

Contact

Contact

Meld je gratis aan voor Outsource IT 2019