De GDPR Stap 5 : Verwerkingsovereenkomst

Er zijn verschillende types van gegevensstromen te onderscheiden.

1. De verwerkingsverantwoordelijke verstuurt persoonsgegevens naar een verwerker om in zijn opdracht persoonsgegevens te verwerken

2. De verwerkingsverantwoordelijke verstuurt persoonsgegevens naar een andere verwerkingsverantwoordelijke die voor eigen doeleinden persoonsgegevens verwerkt

3. De verwerkingsverantwoordelijke verstuurt persoonsgegevens naar een derde land (dit onderwerp zal in de volgende stap : "Stap 6 : internationale doorgifte van persoonsgegevens" worden toegelicht.

We beginnen bij de eerste mogelijkheid: het doorsturen van persoonsgegevens door de verwerkingsverantwoordelijke naar een verwerker.

De verwerkingsverantwoordelijke is de organisatie die beslist wat de 'doeleinden' van de verwerking zijn (vb. personeelsbeheer) en wat de middelen voor het verwerken van persoonsgegevens zullen zijn. De 'middelen' komt neer op de vraag "hoe worden persoonsgegevens verwerkt".

Wanneer de verwerkingsverantwoordelijke beslist (over de 'middelen') om de persoonsgegevens te laten verwerken door een derde (externe) dienstenleverancier, namelijk de verwerker, is het volgens artikel 28, lid 3 van de GDPR vereist om een verwerkersovereenkomst af te sluiten. Dit is dus een specifieke overeenkomst die moet worden afgesloten bovenop de overeenkomst tot het leveren van diensten.

Een concreet voorbeeld : Een werkgever verwerkt persoonsgegevens van haar werknemers in het kader van personeelsbeheer en de loonadministratie. De werkgever besluit om de loonberekeningen te laten uitvoeren door een sociaal secretariaat omdat dit efficiënter is voor de werkgever. Het sociaal secretariaat is een verwerker die de persoonsgegevens van de werknemers van de werkgever zal verwerken enkel en alleen in opdracht van de werkgever.

Uiteraard bestaat hier reeds een overeenkomst voor de levering van diensten over. Doch, de GDPR vereist dat een dergelijk contract ook enkele "GDPR-clausules" omvat. Veelal wordt gewerkt met een bijlage bij deze dienstenovereenkomst aangezien de verplichte clausules te omvangrijk zijn (zoals hieronder aangegeven) om een aanspassing van de overeenkomst door te voeren. Deze bijlage wordt de verwerkersovereenkomst genoemd.

Deze verwerkersovereenkomst bevat verplicht de volgende informaties en clausules:

Context van de verwerking :

• onderwerp van de verwerking,
• de aard en het doel van de verwerking,
• duur van de verwerking,
• het soort/de categorieën van persoonsgegevens
• de categorieën van betrokkenen.

Acht verplicht op te nemen clausules :

1. De verwerker mag de persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de verantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens. Uitzondering hierop is de situatie waarbij een verwerker, op basis van het toepasselijke recht, tot verwerking verplicht is. In dat geval moet de verwerker de verantwoordelijke voorafgaandelijk aan de verwerking in kennis stellen van dat wettelijk voorschrift, tenzij die kennisgeving verboden is.
2. De verwerker moet waarborgen dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.
3. De verwerker moet alle maatregelen die vereist zijn op het vlak van beveiliging (technische en organisatorische maatregelen) nemen.
4. De verwerker moet voldoen aan de voorwaarden voor het in dienst nemen van een andere (sub-)verwerker. Dit houdt in dat hij de voorafgaande toestemming van de verantwoordelijke daartoe nodig heeft en met de (sub-)verwerker een overeenkomst moet sluiten.
5. De verwerker moet, rekening houdend met de aard van de verwerking, de verantwoordelijke, door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken tot uitoefenen van de toegekende rechten van betrokkenen te beantwoorden.
6. De verwerker moet, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, de verantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen inzake melding en mededeling van inbreuken, gegevensbeschermings- effectbeoordeling en voorafgaande raadpleging.
7. De verwerker moet, na afloop van de verwerkingsdiensten, naargelang de keuze van de verantwoordelijke, alle persoonsgegevens wissen of aan de verantwoordelijke terug bezorgen en bestaande kopieën verwijderen, tenzij de (bewaring en) opslag door wetgeving wordt verplicht.
8. De verwerker moet de verantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van deze verplichtingen aan te tonen en audit, waaronder inspecties, door de verantwoordelijke of een door hem gemachtigde controleur mogelijk maken en eraan bijdragen. 

Een verwerkingsverantwoordelijke kan ook persoonsgegevens doorgeven naar andere verwerkingsverantwoordelijken. Iedere verwerkingsverantwoordelijke bepaalt zelf de eigen doeleinden en middelen voor de verwerking. Iedere verwerkingsverantwoordelijke dient zelf alle principes (transparantie, juridische grondslag, … zoals opgesomd in de stappen 3 en 4) en verplichtingen van de GDPR na te leven.

De GDPR schrijft geen contractuele vereisten voor, zoals een verwerkersovereenkomst, voor de doorgifte van de ene naar de andere verwerkingsverantwoordelijke. Het kan eventueel wel aangeraden zijn om bij commerciële overeenkomsten een clausule op te nemen waarbij wordt gewezen op de verplichting van iedere verwerkingsverantwoordelijke om de plichten volgend uit de GDPR na te leven.

Concreet : Een werkgever geeft persoonsgegevens door aan een andere verwerkingsverantwoordelijke zoals een verzekeraar, bankinstelling, lease-maatschappij. De werkgever verwerkt persoonsgegevens voor haar doeleinde, nl. personeelsbeheer. De verzekeraar of lease-maatschappij verwerkt de persoonsgegevens voor een ander/eigen doeleinde (vb. verstrekken van verzekering).

Actiepunten :

• Analyseer welke dienstenleveranciers persoonsgegevens verwerken in opdracht van de verwerkingsverantwoordelijke (sociaal secretariaat, cloud-providers, online tools, …);

• Bepaal welke partijen verwerkingsverantwoordelijken zijn die data ontvangen van u;

• Stel verwerkingsovereenkomsten op en stuur deze op naar de verwerkers;

• Agoria biedt een template van verwerkersovereenkomst aan hier;

• Voor heel wat controlemiddelen op personeel wordt vaak beroep gedaan op derde dienstenleveranciers : Track&Trace via online/cloud tools; camerabewaking met opslag op een cloud; klokkenluidersregeling via derde partij, … Agoria organiseert op 11 juni 2018 een seminarie over interne bedrijfsonderzoeken.

Lees ook de andere artikels in deze blogreeks:

• De GDPR Stap 1: Een GDPR-Team en/of Data Protection Officer en zijn team
• De GDPR Stap 2 : Inventariseren en register
• De GDPR Stap 3: Informatieplicht en transparantie
• De GDPR Stap 4: Verwerkingsgrondslag
• De GDPR Stap 5 : Verwerkingsovereenkomst
• De GDPR Stap 6: Internationale doorgifte van persoonsgegevens
• De GDPR Stap 7: Rechten van de betrokkenen
• De GDPR Stap 8: Datalekken en meldplicht
• De GDPR Stap 9: De GDPR Stap 9 : Wat is nu een DPIA (of Gegevensbeschermingseffectbeoordeling)?