#

Wat moet ik als verwerker doen om aan de GDPR te voldoen?

Vanuit de GDPR / AVG hebben verwerkers hun eigen verplichtingen waar ze aan moeten voldoen. Een verantwoordelijke mag alleen verwerkers inschakelen die “afdoende garanties” bieden over hun deskundigheid en betrouwbaarheid als verwerker. Kortom, ook voor verwerkers is het belangrijk om klaar te zijn voor de GDPR / AVG.

Assisteren verantwoordelijke

De verantwoordelijke bepaalt het doel (“waarom”) en middelen (“hoe”) voor de verwerking. Om die reden is ook het merendeel van de verplichtingen uit de GDPR / AVG aan de verantwoordelijke gericht.

Een verwerker helpt een verantwoordelijke bij de verwerking van persoonsgegevens. De verwerker doet dit aan de hand van de schriftelijke instructies van de verantwoordelijke. Vanuit deze rol moet de verwerker de verantwoordelijke ook helpen bij het uitvoeren van sommige van de plichten van de verantwoordelijke. Je moet dan bijvoorbeeld denken aan hulp bij de uitvoering van de rechten van de betrokkene, assisteren bij het uitvoeren van DPIA en het melden van datalekken aan de verantwoordelijke.

Eigen verplichtingen

De 5 belangrijkste plichten voor een verwerker uit de AVG zijn:

  1. het sluiten van een verwerkersovereenkomst;
  2. (misschien) een register bijhouden;
  3. passende technische en organisatorische maatregelen nemen;
  4. assisteren en advies geven bij een DPIA;
  5. een FG / DPO aanstellen?

1. verwerkersovereenkomst sluiten met verantwoordelijke.

Voordat een verwerker persoonsgegevens in opdracht van de verantwoordelijke verwerkt, moet er tussen de verantwoordelijke en verwerker een verwerkersovereenkomst gesloten worden. Een verwerker kan wachten op een algemene verwerkersovereenkomst van een verantwoordelijke, of zelf proactief een verwerkersovereenkomst opstellen die op maat is gemaakt voor de dienst(en) die de verwerker levert.

Voor een verwerker is het handig om haar diensten op basis van haar eigen verwerkersovereenkomst te verrichten. Op deze manier zijn de verplichtingen richting alle klanten die verantwoordelijke zijn (min of meer) hetzelfde. De belangrijkste onderdelen die in een verwerkersovereenkomst geregeld moeten worden zijn dat:

  1. de verwerker mag alleen handelen in overeenstemming met de opdracht van de verantwoordelijke;
  2. de verwerker een register bijhoudt, tenzij er een uitzondering zoals omschreven in artikel 30 lid 5 van toepassing is;
  3. de overeenkomst een geheimhoudingsplicht bevat voor de verwerker en zijn personeel;
  4. de verwerker passende technische en organisatorische beveiligingsmaatregelen;
  5. de verwerker een lijst met eventuele sub-verwerkers die zij gebruikt als bijlage heeft toegevoegd aan de overeenkomst en dat aan deze sub-verwerkers dezelfde eisen worden gesteld als aan de verwerker zelf;
  6. de verwerker mag geen sub-verwerkers inschakelen zonder toestemming van de 
verantwoordelijke;
  7. de verwerker moet de verantwoordelijke onverwijld (bijvoorbeeld binnen 24 uur) op de hoogte stellen van een datalek;
  8. de verwerker is verplicht mee te werken bij een verzoek van de toezichthouder 
(Autoriteit Persoonsgegevens);
  9. de verwerker, als dat nodig is,  een functionaris voor gegevensbescherming (FG) aanstelt;
  10. de verantwoordelijke audit rechten heeft om te kunnen controleren of de verwerker de afspraken naleeft;
  11. duidelijk is waar de gegevens (ook bij subverwerkers) opgeslagen worden;
  12. er duidelijke afspraken zijn over wat er met de gegevens gebeurt na het einde van de overeenkomst. Hebben jullie de keuze dat alle persoonsgegevens door de verwerker worden gewist of teruggegeven, en worden bestaande kopieën verwijderd?

Als verwerker is het handig om zelf een privacy policy op te stellen waarin alle onderwerpen uit de verwerkersovereenkomst behandeld worden en de bijbehorende processen en verantwoordelijkheden uitgelegd worden. Een privacy policy geeft jouw klanten (die verantwoordelijke zijn) ook een concreet beeld over de manier waarop jullie aantoonbaar aan de GDPR / AVG voldoen.

2. (misschien) een register bijhouden;

Ook een verwerker moet een register van verwerkingsactiviteiten bijhouden. Er is een uitzondering op de plicht om een register bij te houden, namelijk als een verwerker minder dan 250 personen in dienst heeft.

Om het makkelijk te maken is er op deze uitzondering ook weer een uitzondering. Een verwerker met minder dan 250 werknemer moet alsnog een register bijhouden als de verwerkingen:

  • waarschijnlijk een hoog risico voor betrokkenen met zich meebrengen,  of
  • niet-incidenteel van aard zijn, of
  • bijzondere persoonsgegevens (inclusief strafrechtelijke gegevens) bevatten.

In de meeste gevallen zullen verwerkers persoonsgegevens niet incidenteel verwerken. Daarom gaan wij er vanuit dat de meeste verwerkers ook een register bij moeten houden. Wat moet er voor een verwerker in het register staan?

  • naam en contactgegevens verwerker en van de FG als die er is;
  • contactgegevens van alle verantwoordelijken (namens wie de verwerker verwerkingen uitvoert) en hun FG als die er is;
  • de categorieën van verwerkingen die de verwerker voor de verantwoordelijken uitvoert;
  • eventuele doorgiften van persoonsgegevens naar derde landen en de manier waarmee passende waarborgen worden getroffen;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Een register als verwerker bijhouden kan pragmatisch door in de softwareapplicatie die gebruikt wordt voor het beheren van de klantrelaties de contactgegevens van de FG van klanten toe te voegen. Op die manier kan aan de eerste twee punten worden voldaan.

Daarnaast kan de verwerker een overzicht maken van de verschillende diensten die geleverd worden als verwerker. Zie het als een brochure per dienst die als verwerker wordt geleverd. Per dienst maakt de verwerker een overzicht van de categorieën verwerkingen die verricht worden, sub verwerkers die gebruikt worden, eventuele doorgiftes naar derde landen en een algemene beschrijving van de technische en organisatorische maatregelen op te stellen. Deze brochure kan vervolgens als bijlage toegevoegd worden aan de verwerkersovereenkomst.

Belangrijk is wel dat per klant bijgehouden wordt welke dienst er geleverd wordt waarbij de organisatie verwerker is. Kortom, dat er in het klantenbeheersysteem een koppeling is naar de geleverde verwerkersdiensten en de verschillende brochures / overzichten per dienst en dat van beide een overzicht uitgeprint kan worden. In sommige klantenbeheersystemen zal dat wel kunnen en in andere niet.

3. passende technische en organisatorische beveiligingsmaatregelen nemen;

Een verwerker is verplicht om passende beveiligingsmaatregelen te treffen voor de verwerkingen die hij in opdracht van de verantwoordelijke uitvoert. Daarnaast moet een verwerker er op toezien dat alle (sub)verwerkers die hij gebruikt ook passende maatregelen nemen.

Een belangrijke organisatorische maatregel is bijvoorbeeld toegangsbeperking en geheimhoudingsbedingen bij iedereen die onder gezag van de verwerker handelt en toegang heeft tot de persoonsgegevens. Iedereen die in aanraking kan komen met de persoonsgegevens van de verantwoordelijke moet zich houden aan de opdracht van de verantwoordelijke en vertrouwelijk met de gegevens omgaan.

4. assisteren en advies geven bij een DPIA;

Een verantwoordelijke moet een DPIA (Data Protection Impact Assessment) uitvoeren, als een verwerking een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen. Het kan zijn dat de verantwoordelijke voor deze verwerking een verwerker in de arm neemt.

In dat geval kan de verwerker gehouden zijn om in overleg met de verantwoordelijke hulp en advies te geven bij het uitvoeren van de DPIA van de verantwoordelijke. Het is belangrijk om vooraf duidelijke afspraken te maken over de (beperking van de) aansprakelijkheid en eventuele kosten die verbonden zijn aan het helpen van een verantwoordelijke bij het uitvoeren van een DPIA.

5. indien nodig een functionaris voor gegevensbescherming aanstellen.

Ook verwerkers dienen onder omstandigheden een FG aan te stellen. Een FG voor een verwerker heeft dezelfde taken en positie in de organisatie als een FG bij een verantwoordelijken. De aanwijzing van een FG (functionaris voor gegevensbescherming) is verplicht:

  • Voor overheidsinstanties of overheidsorganen;
  • Bij regelmatige en stelselmatige observatie op grote schaal van betrokkenen als kerntaak;
  • Als op grote schaal bijzondere persoonsgegevens worden verwerkt (inclusief strafrechtelijke veroordelingen en strafbare feiten) als kerntaak.

“Kerntaken” zijn de belangrijkste activiteiten voor het bereiken van de doelstellingen van de organisatie. Bijvoorbeeld de verwerking van medische gegevens, zoals medische dossiers van patiënten, is een kerntaak van een ziekenhuis.

Ondersteunende activiteiten zoals de uitbetaling van werknemers of standaard IT ondersteuning zijn voorbeelden van noodzakelijke ondersteuningsfuncties voor de kerntaak of de hoofdactiviteit van de organisatie. Ook al zijn deze activiteiten noodzakelijk of essentieel, ze zijn eerder als nevenfuncties dan een kerntaak.

Gerelateerde berichten