Wat is een verwerkersovereenkomst?
Bij e-leren krijg je te maken met heel wat persoonlijke gegevens van je cursisten en lesgevers. Waarschijnlijk zal je bij de verwerking van bepaalde gegevens een beroep doen op een externe partij. Denk aan een clouddienst om gegevens op te slaan, een boekhouddienst om de betalingen te verwerken of webinarsoftware waar cursisten hun e-mailadres moeten ingeven. Uiteraard maak je over de verwerking van die gegevens duidelijke afspraken. Dat doe je in een verwerkersovereenkomst. Maar wat houdt die juist in?
Wie is wie in de verwerkersovereenkomst?
a. De verwerkingsverantwoordelijke
Jij beslist waarom en hoe de gegevens verwerkt worden, dus jij bent de verwerkingsverantwoordelijke. Je bent dan ook de eindverantwoordelijke voor de manier waarop de ingeschakelde dienst (de verwerker) omgaat met de gegevens.
b. De verwerker
Je schakelt misschien een externe dienst of bedrijf in voor een aantal taken die niet tot jouw kernactiviteit behoren. Denk aan een IT-bedrijf voor software, sociale secretariaten voor lonen, … Die bedrijven verwerken persoonsgegevens in jouw opdracht. Zij zijn de verwerker.
De GDPR beschrijft de verwerker als: ‘een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.’
c. De subverwerker
Ook de verwerker kan op zijn beurt een externe dienst inschakelen. Dat is dan een subverwerker. De verwerker mag die inschakelen onder de voorwaarden die je vastlegde in de verwerkersovereenkomst en met jouw schriftelijke toestemming.
De verwerker sluit zelf een overeenkomst af met de subverwerker. Daarin staat dat de subverwerker de instructies van de verwerkingsverantwoordelijke opvolgt. Eigenlijk moet hij dus dezelfde afspraken volgen als de verwerker.
Wanneer is een verwerkersovereenkomst verplicht?
Zodra je gegevens laat verwerken door een externe partij, is een verwerkersovereenkomst verplicht. Dat geldt ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is.
In die overeenkomst regel je de verantwoordelijkheden tussen jou en de verwerker. Jebepaalt ook hoe de verwerker met de gegevens moet omgaan. Dat hoeft geen aparte overeenkomst te zijn. Je kan die bijvoorbeeld ook in de algemene voorwaarden vastleggen.
Wat staat er minimaal in een verwerkersovereenkomst?
- Een verwerkersovereenkomst bevat minimaal de volgende onderdelen:
- het onderwerp van de verwerking;
- de aard van de verwerking;
- het doel van de verwerking;
- de duur van de verwerking;
- het soort/de categorieën van de persoonsgegevens;
- de categorieën van de betrokkenen;
- een exitregeling: wat gebeurt er met de gegevens na beëindiging van de overeenkomst?
Belangrijke aandachtspunten
- De verwerking kan alleen gebeuren op basis van jouw schriftelijke instructies.
- De verwerker mag de gegevens ook nooit voor eigen doeleinden gebruiken.
- De verwerker (en iedereen in dienst ervan) heeft geheimhoudingsplicht.
- De verwerker zorgt voor de nodige beveiliging van de gegevens. Denk aan versleuteling van persoonsgegevens, informatiebeveiliging, beveiligingstesten, …
- De verwerker helpt je als betrokkenen hun privacyrechten willen uitoefenen. Bijvoorbeeld het recht op inzage, correctie, vergetelheid en dataportabiliteit.
- De verwerker helpt je ook andere verplichtingen na te komen, zoals het melden van datalekken, een DPIA uitvoeren en een voorafgaande raadpleging.
- De verwerker werkt ook mee in geval van een audit en stelt alle relevante info beschikbaar.
Een verwerkersovereenkomst is erg belangrijk. Niet alleen moet je in orde zijn met de AVG (Algemene Verordening Gegevensbescherming), je wil gewoon ook zelf weten hoe de andere met de persoonlijke gegevens omgaat. Correcte behandeling van persoonsgegevens zorgt altijd voor een betrouwbare en veilige indruk.
Wil je graag een voorbeeld van zo’n verwerkersovereenkomst? Download hier een exemplaar