GDPR: Moet mijn organisatie een contract afsluiten met de verwerkers van gegevens waarvoor wij verantwoordelijk zijn?

Ja, dat is nodig. Zo kun je garanderen dat de gegevens die je organisatie opvroeg, "GDPR-compliant" worden verwerkt door andere verwerkers.
Heel wat organisaties gebruiken bvb online tools om persoonsgegevens op te vragen of te bewaren, bijvoorbeeld wanneer inschrijvingen voor een evenement via Google Forms verlopen of wanneer ledenlijsten in Dropbox worden opgeslagen. In dat geval is het bedrijf achter die online tool een verwerker van persoonsgegevens waarvoor je organisatie verantwoordelijk is. Volgens artikel 28 AVG dient je organisatie dan na te gaan of deze verwerker de GDPR verplichtingen zal naleven (en dus "GDPR compliant" is).

Zo moet de verwerker kunnen garanderen dat volgende principes worden gerespecteerd : 

  • Dat je organisatie eigenaar is van de gegevens en dat de verwerker deze gegevens niet zal delen met andere partijen of voor eigen doeleinden kan gebruiken
  • Dat de verstrekte persoonsgegevens binnen Europa blijven, en op Europese dataservers worden gestockeerd
  • Dat de gegevens afdoende beveiligd zijn
  • Dat de gegevens vertrouwelijk worden behandeld (o.a. door medewerkers en leveranciers)

Op onze website kan je een modelovereenkomst downloaden, waarin alle verplichte vermeldingen werden opgenomen.
Naast een klassieke overeenkomst, zoals het net aangehaalde model, is het ook mogelijk om de overeenkomst in de vorm van gebruikersvoorwaarden te gieten. Zo zal een groot softwarebedrijf bijvoorbeeld zelf initiatief nemen en zijn verkoopsvoorwaarden aanpassen.

    Moet elke sportorganisatie nu de "Googles" van deze wereld contacteren met de vraag of zij GDPR-compliant zijn en een verwerkersovereenkomst kunnen afsluiten? Neen, dat is uiteraard niet haalbaar.
    Grote bedrijven zoals Google zullen in de gebruiksvoorwaarden van hun tools aanpassingen aanbrengen waaruit moet blijken dat zij GDPR compliant zijn.
    De Vlaamse Sportfederatie & het Dynamo Project pluizen voor jou uit welke grote gegevenswerkers en welke veel gebruikte verwerkers in de sportsector reeds GDPR compliant zijn. Het overzicht vind je hier.