“Heeft u uw gegevensverwerking uitbesteed aan een (sub) verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.”
Uit bovenstaande blijkt, dat organisaties de bestaande overeenkomsten zullen moeten controleren en eventueel moeten aanpassen. Maar er is nog een andere eis uit de AVG die van belang is bij het inschakelen van verwerkers: de verwerkingsverantwoordelijke mag alleen verwerkers inschakelen die afdoende garanties bieden.
Wat betekent afdoende garanties?
De (sub) verwerker zal onder andere garanties moeten bieden op het gebied van deskundigheid, betrouwbaarheid en middelen om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften uit de AVG. U zult dus bij de inschakeling van een (sub) verwerker moeten onderzoeken of de verwerker aan de verplichting uit de AVG kan voldoen. Het uitsluitend vertrouwen op de blauwe ogen van de leverancier is dus niet voldoende.
Welke inhoudelijke eisen worden er aan een verwerkersovereenkomst gesteld?
De AVG geeft aan, welke elementen opgenomen moeten worden in de verwerkersovereenkomst (zie art. 28 AVG). Dit zijn onder andere:
- Onderwerp en duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.
- Afspraken met de verwerker over het toepassen van passende technische en organisatorische beveiligingsmaatregelen.
- Afspraken over het melden van beveiligingsincidenten/datalekken.
- Het wel of niet mogen inschakelen van andere verwerkers.
- Afspraken over de doorgifte van de gegevens naar derden landen.
- Het wissen of retourneren van de gegevens na afloop van de verwerkingen.
Geadviseerd wordt om artikel 28 AVG te raadplegen voor alle eisen die aan een verwerkersovereenkomst worden gesteld.
De volgende stappen kunt u als organisatie zetten:
- Inventariseer eerst welke (sub) verwerkers uw organisatie heeft ingeschakeld voor gegevensverwerkingen.
- Onderzoek en documenteer of de verwerker afdoende garanties kan bieden.
- Controleer bestaande verwerkersovereenkomsten aan de vereisten van artikel 28 AVG. Ontbreken er elementen, sluit een nieuwe overeenkomst met de verwerker die voldoet aan de vereisten.
- Is er nog geen verwerkersovereenkomst? Stel deze dan zo snel mogelijk op.
- Zorg dat u in uw privacy boekhouding een overzicht heeft van alle verwerkers en stel een procedure op om deze up-to-date te houden zodat u altijd een volledig en actueel overzicht heeft.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.