Moet je een contract afsluiten met de verwerkers van gegevens?
Ja, dat is nodig. Eigenlijk bepaalt deze verwerkingsovereenkomst de spelregels voor de verschillende partijen. Zo kan je garanderen dat de gegevens die je organisatie opvraagt, conform met de GDPR-regelgeving worden verwerkt door deze leverancier.
Heel wat organisaties gebruiken bvb online tools om persoonsgegevens op te vragen of te bewaren, bijvoorbeeld wanneer inschrijvingen voor een evenement via een online formulier verlopen of wanneer ledenlijsten in de cloud worden opgeslagen. In dat geval is het bedrijf achter die online tool een verwerker van persoonsgegevens waarvoor je organisatie verantwoordelijk is.
Volgens de GDPR regelgeving (Art. 28) dient je organisatie na te gaan of deze verwerker de GDPR verplichtingen zal naleven.
Zo moet de verwerker kunnen garanderen dat volgende principes worden gerespecteerd :
- Dat je organisatie eigenaar is van de gegevens en dat de verwerker deze gegevens niet zal delen met andere partijen of voor eigen doeleinden kan gebruiken
- Dat de verstrekte persoonsgegevens binnen Europa blijven, en op Europese dataservers worden gestockeerd, of dat een gelijkwaardige bescherming wordt geboden
- Dat de gegevens afdoende beveiligd zijn
- Dat de gegevens vertrouwelijk worden behandeld (o.a. door medewerkers en leveranciers)
Op onze website kan je een modelovereenkomst downloaden, waarin alle verplichte vermeldingen werden opgenomen.
Naast een klassieke overeenkomst, zoals het net aangehaalde model, is het ook mogelijk om de overeenkomst in de vorm van gebruikersvoorwaarden te gieten. Zo zal een groot softwarebedrijf bijvoorbeeld zelf initiatief nemen door zijn verkoopsvoorwaarden aan te aanpassen, een verwerkingsovereenkomst zelf te voorzien, en deze in de gebruikersovereenkomst (als bijlage) toe te voegen.
Moet elke sportorganisatie nu de "Google" of "Microsoft" van deze wereld contacteren met de vraag of zij GDPR-compliant zijn en een verwerkersovereenkomst kunnen afsluiten? Neen, dat is uiteraard niet haalbaar.
Of een dienstenleverancier de GDPR regels correct opvolgt, vraagt een beetje opzoekwerk als gebruiker. Grote bedrijven zoals Google of Microsoft zullen in de gebruiksvoorwaarden van hun tools aanpassingen aanbrengen op basis van de GDPR regelgeving.
De verwerkingsovereenkomst wordt meestal standaard aangeboden om deze makkelijk af te sluiten, of is reeds opgenomen in de gebruikersovereenkomst.
We geven graag toch enkele aandachtspunten mee om zelf deze analyse te kunnen doen:
- Van zodra gegevens buiten Europa worden verwerkt, is het aan jou, als verwerkingsverantwoordelijke, om na te gaan of de gegevens nog even veilig verwerkt worden als in Europa. Daarom kies je bij voorkeur voor een Europese speler. Dit maakt het voor jou makkelijker, omdat ook de leverancier dan gebonden is aan exact dezelfde wetgeving. Door voor die Europese leverancier te kiezen, doe je zelf geen export van gegevens buiten Europa. Kijk wel na of deze leverancier deze daarna niet gaat exporteren.
- Kies je voor een niet Europese partner, dan kies je best een partner uit een land dat beschikt over een adequaatheidsbesluit. Let op: voor sommige landen worden aanvullende regels opgelegd.
