GDPR: Moet je als organisatie een contract afsluiten met de verwerkers van gegevens?

15/04/2021 - 16:21

Ja, dat is nodig. Eigenlijk bepaald deze verwerkingsovereenkomst de spelregels voor de verschillende partijen. Zo kan je garanderen dat de gegevens die je organisatie opvraagt, conform met de GDPR-regelgeving worden verwerkt door deze leverancier.
Heel wat organisaties gebruiken bvb online tools om persoonsgegevens op te vragen of te bewaren, bijvoorbeeld wanneer inschrijvingen voor een evenement via een online formulier verlopen of wanneer ledenlijsten in de cloud worden opgeslagen. In dat geval is het bedrijf achter die online tool een verwerker van persoonsgegevens waarvoor je organisatie verantwoordelijk is. 

Volgens de GDPR regelgeving (Art. 28) dient je organisatie na te gaan of deze verwerker de GDPR verplichtingen zal naleven.

Zo moet de verwerker kunnen garanderen dat volgende principes worden gerespecteerd : 

  • Dat je organisatie eigenaar is van de gegevens en dat de verwerker deze gegevens niet zal delen met andere partijen of voor eigen doeleinden kan gebruiken
  • Dat de verstrekte persoonsgegevens binnen Europa blijven, en op Europese dataservers worden gestockeerd, of dat een gelijkwaardige bescherming wordt geboden
  • Dat de gegevens afdoende beveiligd zijn
  • Dat de gegevens vertrouwelijk worden behandeld (o.a. door medewerkers en leveranciers)

Op onze website kan je een modelovereenkomst downloaden, waarin alle verplichte vermeldingen werden opgenomen.
Naast een klassieke overeenkomst, zoals het net aangehaalde model, is het ook mogelijk om de overeenkomst in de vorm van gebruikersvoorwaarden te gieten. Zo zal een groot softwarebedrijf bijvoorbeeld zelf initiatief nemen door zijn verkoopsvoorwaarden aan te aanpassen, een verwerkingsovereenkomst zelf te voorzien, en deze in de gebruikersovereenkomst (als bijlage) toe te voegen.

Moet elke sportorganisatie nu de "Google" of "Microsoft" van deze wereld contacteren met de vraag of zij GDPR-compliant zijn en een verwerkersovereenkomst kunnen afsluiten? Neen, dat is uiteraard niet haalbaar.

Of een dienstenleverancier de GDPR regels correct opvolgt, vraagt een beetje opzoekwerk als gebruiker. Grote bedrijven zoals Google of Microsoft zullen in de gebruiksvoorwaarden van hun tools aanpassingen aanbrengen op basis van de GDPR regelgeving.

De verwerkingsovereenkomst wordt meestal standaard aangeboden om deze makkelijk af te sluiten, of is reeds opgenomen in de gebruikersovereenkomst.

We geven graag toch enkele aandachtspunten mee om zelf deze analyse te kunnen doen:

  • Van zodra gegevens buiten Europa worden verwerkt, is het aan jou, als verwerkingsverantwoordelijke, om na te gaan of de gegevens nog even veilig verwerkt worden als in Europa. Daarom kies je bij voorkeur voor een Europese speler. Dit maakt het voor jou makkelijker, omdat ook de leverancier dan gebonden is aan exact dezelfde wetgeving. Door voor die Europese leverancier te kiezen, doe je zelf geen export van gegevens buiten Europa. Kijk wel na of deze leverancier deze daarna niet gaat exporteren.
  • Amerikaanse bedrijven kunnen zich sinds juli 2020 niet meer baseren op hun erkenning door het “Privacy Shield”. Het arrest "Schrems II" heeft dit principe onderuit gehaald. Voortaan moeten Amerikaanse bedrijven op zijn minst voorzien in de “Standard Contractual Clauses”. Kortweg SCC. Dit is een standaardtekst met basisspelregels. De meeste bedrijven uit Amerika voorzien deze standaard als onderdeel van de gebruikersovereenkomst.

Sinds het Arrest “Schrems II” van juli 2020 is het niet zo eenvoudig meer om met Amerikaanse leveranciers samen te werken. De Amerikaanse wetgeving geeft inlichtingendiensten namelijk speciale bevoegdheden (FISA 12333 en andere). Daardoor is het niet mogelijk hetzelfde niveau van veiligheid van gegevens absoluut te maken bij doorgifte naar Amerika. Samenwerken met een Amerikaanse leverancier verplicht je daardoor om zelf na te kijken of deze leverancier de nodige garanties kan bieden, wat in de meeste gevallen moeilijk is.

Op deze pagina kan je meer uitleg lezen over het arrest "Schrems II" en de gevolgen ervan op het werken met dienstenleveranciers uit de VS.

Algemeen