WAT IS EEN VERWERKERSVERANTWOORDELIJKE OF EEN VERWERKER?

In de GDPR bestaat er een duidelijke definiëring van de verschillende partijen die te maken hebben met de verwerking van persoonsgegevens. Een verwerker is een uitermate belangrijke rol of functie binnen de GDPR en als verwerkingsverantwoordelijke  heb je er alle belang bij dit goed te begrijpen!

DE VERWERKINGSVERANTWOORDELIJKE

Als jouw onderneming of organisatie beslist waarom (de doeleinden) en hoe (de middelen) persoonsgegevens worden verwerkt, is zij de verwerkingsverantwoordelijke. Jouw onderneming bepaalt namelijk op welke manier jouw klanten, leveranciers, medewerkers, prospecten etc. worden geregistreerd, bijgehouden, ingedeeld,  bewaard, beveiligd, enzovoort. Jouw onderneming is eindverantwoordelijk voor de manier waarop ze omgaat met deze persoonsgegevens, en de GDPR beschrijft hoe dit wettelijk moet.

DE VERWERKER

Veel ondernemingen schakelen andere bedrijven in voor de uitvoering van noodzakelijke taken die niet tot hun kernactiviteit behoren. We denken hierbij onder andere aan IT-bedrijven die de hardware infrastructuur beheren, sociale secretariaten die de loonadministratie voor de medewerkers uitvoeren, marketingbedrijven die helpen bij de marketing van jouw producten en het aantrekken van nieuwe klanten. Meestal verwerken deze bedrijven persoonsgegevens, dit in jouw opdracht.

De GDPR beschouwt hen als verwerker : “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.” (art.4.8, codex AVG)

Voor een lijst van type-bedrijven die meestal als  verwerkers functioneren, kan je terecht bij Ubora.

Jouw sociaal secretariaat verwerkt dus persoonsgegevens van jouw medewerkers, jouw IT-partner heeft toegang tot heel veel data waaronder persoonsgegevens, het marketingbedrijf genereert prospects of communiceert met jouw klanten. Duidelijk, als verwerker beheren/behandelen ze persoonsgegevens van jouw onderneming, … waarvoor jij eindverantwoordelijk bent.

Je hebt er dus alle belang bij dat jouw verwerkers hierbij de GDPR respecteren, en dat wordt geregeld via een …

VERWERKERSOVEREENKOMST

Als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens ‘uitbesteedt’, is een schriftelijke overeenkomst vereist.

In deze overeenkomst worden de verantwoordelijkheden tussen verantwoordelijke en verwerker geregeld en wordt beschreven hoe de verwerker met de persoonsgegevens moet omgaan.

Dit hoeft geen losse overeenkomst te zijn. In algemene overeenkomsten kunnen de afspraken vastgelegd worden over de verwerking van persoonsgegevens.

Belangrijke onderwerpen in een verwerkingsovereenkomst zijn onder andere : onderwerp, duur, aard en doel van de verwerking, geheimhoudingsplicht, beveiligingsmaatregelen, bijstand bij audits, aansprakelijkheid.

SUBVERWERKER

Wanneer verwerkers andere partijen inschakelen voor de uitvoering van de verwerking van persoonsgegevens, heeft men het over subverwerkers. Een verwerker mag subverwerkers inschakelen onder de voorwaarden bepaald in de verwerkersovereenkomst en mits schriftelijke toestemming van de verwerkingsverantwoordelijke.

De verwerker dient met de subverwerker een overeenkomst te sluiten waarin de subverwerker aangeeft de instructies van de verwerkingsverantwoordelijke te zullen opvolgen. Kort komt het erop neer dat de subverwerker dezelfde afspraken in acht neemt als de verwerker met de verantwoordelijke is overeengekomen.

GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKE

Sommige derde partijen die door jouw onderneming worden ingeschakeld, bepalen mee waarom en hoe persoonsgegevens moeten worden verwerkt. Dit gebeurt vooral als hun opdracht wettelijk omschreven is of deontologie bevat. Zo worden vrije beroepen (boekhouder, notaris, revisor, …) in deze relatie als gezamenlijke verwerkingsverantwoordelijke beschouwd en dient u met deze partijen geen verwerkersovereenkomst af te sluiten.

Meer informatie hierover ?

Neem vrijblijvend contact op met Ubora.

Rolf Vermeulen - Ubora

Rolf Vermeulen
Privacy-expert
+32 475 96 01 18