In vele gevallen zal uw organisatie beroep doen op andere ondernemingen. Denk maar aan loonadministratie, beheer van de website, boekhouding,… Bij het verrichten van deze opdrachten is het mogelijk dat deze ondernemingen persoonsgegevens zullen verwerken in uw opdracht. Dit betekent dat uw organisatie gezien wordt als de verwerkingsverantwoordelijke en de andere onderneming als een verwerker.
Overeenkomstig de GDPR dient deze relatie opgenomen te worden in een overeenkomst, dit wordt ook wel de verwerkingsovereenkomst genoemd. Deze overeenkomst wordt vaak als addendum bij de hoofdovereenkomst gevoegd, maar kan ook deel uitmaken van de hoofdovereenkomst. In deze overeenkomst dienen volgende zaken opgenomen te zijn:
- het onderwerp en de duur van de verwerking;
- de aard en het doel van de verwerking;
- het soort persoonsgegevens en de categorieën van betrokkenen;
- de rechten en verplichtingen van de verwerkingsverantwoordelijke.
Daarnaast bepaalt de GDPR dat de overeenkomst dient te bepalen dat de verwerker:
- de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
- waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
- alle nodige technische en organisatorische maatregelen neemt;
- al dan niet een andere verwerker in dienst kan/mag nemen;
- bijstand verleent bij het vervullen van de verwerkingsverantwoordelijke zijn plicht om verzoeken om uitoefening van de rechten van de betrokkene te beantwoorden;
- bijstand verleent met het oog op de technische en organisatorische maatregelen en de DPIA van de verwerkingsverantwoordelijke;
- de persoonsgegevens wist of aan de verwerkingsverantwoordelijke terug bezorgt na afloop van de overeenkomst;
- de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de voorgaande verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.
Indien uw organisatie nieuwe contracten overeenkomt, is het belangrijk dat deze zaken in de overeenkomst worden opgenomen. Voor reeds bestaande overeenkomsten kan u het best opteren voor een addendum aan de bestaande overeenkomst om uw organisatie in regel te stellen met de GDPR.