Stappenplan AVG. Stap 9. Controleer uw bewerkersovereenkomsten en verwerkersovereenkomsten
De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.
Download stappenplan AVG
Ter voorbereiding op de nieuwe privacywet, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. De vorige keer behandelden we stap 8: stel de wijze vast waarop informatie wordt verschaft aan de betrokkene. Nu stap 9. Controleer uw bewerkersovereenkomsten en verwerkersovereenkomsten.
Met de komst van de AVG wijzigen de definities:
- ‘bewerker’ in ‘verwerker’ en
- ‘bewerkersovereenkomst’ in ‘verwerkersovereenkomst’.
Een verwerker is een derde die ten behoeve van uw organisatie persoonsgegevens verwerkt. Hierbij kunt u denken aan het bedrijf dat uw salarisadministratie verzorgt. U bent verplicht om met de verwerker een overeenkomst aan te gaan.
In deze overeenkomst dient u in ieder geval de volgende informatie op te nemen:
Algemene beschrijving
De verwerkersovereenkomst bevat een algemene beschrijving van onder meer de volgende punten:
- de inhoud,
- de duur,
- de aard en het doel van de verwerking,
- het soort persoonsgegevens,
- de categorieën van betrokkenen, en
- de rechten en verplichtingen van de verwerkingsverantwoordelijke.
Instructies verwerking
De verwerking van persoonsgegevens door de verwerker mag slechts plaatsvinden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.
Geheimhoudingsplicht
Aan de verwerker moet een geheimhoudingsplicht worden opgelegd.
Beveiliging
De verwerker moet passende technische en organisatorische maatregelen treffen om de verwerking te beveiligen. Voorbeelden hiervan zijn:
- pseudonimisering en versleuteling van persoonsgegevens,
- permanente informatiebeveiliging,
- herstel van beschikbaarheid,
- toegang tot gegevens bij incidenten, en
- regelmatige beveiligingstesten.
Subverwerkers
De verwerker mag geen subverwerker(s) inschakelen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker legt in een verwerkersovereenkomst dezelfde verplichtingen op aan de subverwerker, als de verplichtingen die de verwerker heeft richting de verwerkingsverantwoordelijke.
Verplichtingen privacyrechten
De verwerker zal de verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van diens plicht, als betrokkenen hun privacyrechten willen uitoefenen. Het gaat om privacyrechten zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit.
Nakomen verplichtingen verwerkingsverantwoordelijke
De verwerker verleent de verwerkingsverantwoordelijke bijstand bij het uitoefenen van diens verplichtingen, zoals het melden van datalekken, het uitvoeren van een data protection impact assessment en bij een voorafgaande raadpleging.
Gegevens verwijderen
Eindigt de verwerkingsovereenkomst, dan dient de verwerker alle gegevens te verwijderen of aan de verwerkingsverantwoordelijke terug te bezorgen, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
Audits
De verwerker dient de verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om te controleren of hij zich als verwerker aan de hierboven genoemde verplichtingen houdt. Daarnaast dient de verwerker mee te werken aan audits.
Het is belangrijk dat uw overeenkomsten aan bovenstaande punten voldoen. Breng daarom in kaart welke organisatie voor u persoonsgegevens verwerken en of u met deze organisatie(s) een overeenkomst heeft gesloten. Controleer vervolgens of de overeenkomst voldoet aan de AVG en pas waar nodig de overeenkomst aan of sluit nieuwe verwerkingsovereenkomsten.
Download het complete stappenplan AVG
Na deze stap volgt nog één stap die in het volgende artikel wordt behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.
Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.
Eerder verschenen stappen in het stappenplan AVG
- Stap 1. Wel of geen functionaris gegevensbescherming aanstellen?
- Stap 2. Breng in kaart welke persoonsgegevens u verwerkt
- Stap 3. Bent u verplicht om privacyrisico’s van een gegevensverwerking in kaart te brengen dmv een DPIA?
- Stap 4. Stel een privacybeleid op
- Stap 5. Maak een register verwerkingen en register datalekken
- Stap 6. Stel vast wat uw doel is en wat de grondslag is voor de gegevensverwerking
- Stap 7. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert
- Stap 8. Stel de wijze vast waarop informatie wordt verschaft aan de betrokkene
________________________________
Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG.