Regelmatig sluiten bedrijven of organisaties een overeenkomst met een derde partij voor het verwerken van persoonsgegevens. Zo kan een bedrijf de salarisadministratie uitbesteden aan een onderneming die hierin gespecialiseerd is. Of een organisatie kan persoonlijke en privacygevoelige gegevens onderbrengen bij een clouddienst. In veel gevallen is dan een verwerkersovereenkomst nodig.
Het opstellen van een verwerkersovereenkomst
Het opstellen van een verwerkersovereenkomst is een van de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Hiervan is sprake als een andere partij specifiek is ingehuurd voor het verwerken van persoonsgegevens en zodoende ten behoeve van de opdrachtgever en onder diens verantwoordelijkheid persoonsgegevens verwerkt.
,,Je hebt dan de verwerkingsverantwoordelijke en de verwerker’’, legt privacy-advocaat Hylke Klasens uit. ,,De verwerkingsverantwoordelijke bepaalt voor welk doel de persoonsgegevens worden gebruikt en bewaard, en met welke middelen. De verwerker verwerkt de persoonsgegevens conform de instructies van de verwerkingsverantwoordelijke, onder diens toezicht.’’
De verwerkersovereenkomst is verplicht
Zo is een bedrijf dat alleen de loonadministratie bijhoudt voor anderen en daarbij persoonsgegevens verwerkt, een verwerker. Als een organisatie persoonlijke data opslaat in de cloud, is de clouddienstverlener ook een verwerker. Deze dienst wordt specifiek ingehuurd voor de opslag van data, maar de verwerkingsverantwoordelijke bepaalt welke gegevens worden opgeslagen en voor hoe lang.
In beide voorbeelden is een verwerkersovereenkomst verplicht. Toch kan het lastig zijn om te bepalen of zo’n overeenkomst nodig is. ,,Soms hebben dienstverleners persoonsgegevens nodig om hun werk te kunnen doen’’, zegt Klasens. ,,Denk bijvoorbeeld aan een accountant, notaris of advocaat. Het verwerken van persoonsgegevens is niet het primaire doel. In die gevallen is geen verwerkersovereenkomst verplicht.’’
Dat geldt evenmin voor de bloemist die bloemetjes bezorgt bij zieke mensen. Hij heeft geen doel om een verzuimdossier bij te houden, maar gebruikt de persoonsgegevens alleen om de bloemen te bezorgen.
Geen opmerkingen:
Een reactie posten