Met een verwerkersovereenkomst kunt u verantwoorden dat u persoonsgegevens mag verwerken en op welke manier. U kunt zich dan beroepen op de grondslag van de verwerkingsverantwoordelijke. U moet de persoonsgegevens passend beveiligen.
Als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is.
Wat staat er in een verwerkersovereenkomst? In een verwerkingsovereenkomst maak je afspraken over de beveiliging van de gegevens. Oftewel, je legt schriftelijk vast dat zij er op een verantwoorde manier mee omgaan en de data niet gebruiken voor zaken waar jij geen opdracht voor gegeven hebt.
Vanaf 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht en heet de verantwoordelijke 'verwerkingsverantwoordelijke' en wordt de term bewerker vervangen door 'verwerker'. De bewerkersovereenkomst heet vanaf 25 mei 2018 'verwerkersovereenkomst'.
De verwerkingsverantwoordelijke is dus degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, terwijl de verwerker degene is die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
Volgens de AVG is een verwerker: 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt' (artikel 4 lid 8 AVG).
In een verwerkersovereenkomst moeten minimaal de volgende zaken geregeld zijn: het onderwerp en de duur van de verwerking; de aard en het doel van de verwerking; het soort persoonsgegevens en de categorieën van betrokkenen; de rechten en verplichtingen van de verwerkingsverantwoordelijke.
De AP houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder toezicht vallen diverse activiteiten: Onderzoek doen uit eigen beweging naar mogelijke overtredingen van de wet (artikel 55 en 58, lid 1, onder e, AVG).
De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten: Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet.
Het verwerkingsregister is één van de nieuwe verplichtingen onder de AVG. Met het Verwerkingsregister kunnen organisaties duidelijk in kaart brengen welke gegevens zij verwerken en voor welke doeleinden. Deze informatie kan goed van pas komen als betrokkenen gebruik maken van het op inzage.
Adequate bescherming
Hoewel de privacyregels van de AVG slechts gelden voor de Europese Economische Ruimte (EER) – dit zijn alle landen van de EU plus Liechtenstein, IJsland en Noorwegen – mogen persoonsgegevens ook verstuurd worden naar derde landen, wanneer aan specifieke voorwaarden is voldaan.
U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat iemand toestemming heeft gegeven om zijn of haar persoonsgegevens te verwerken.
De Belastingdienst krijgt gegevens van burgers en bedrijven zelf. Soms omdat het wettelijk verplicht is om gegevens aan ons te geven, zoals bij het doen van belastingaangifte of bij het aanvragen van een toeslag.
De politie mag alleen persoonsgegevens verwerken voor een bepaald doel. Bijvoorbeeld de opsporing van daders van strafbare feiten. De gegevens die de politie verwerkt, moeten noodzakelijk zijn om dat doel te bereiken. Alleen in uitzonderlijke gevallen mag de politie bijzondere persoonsgegevens vastleggen.
Onder de taken van de FG valt bijvoorbeeld het toezien op naleving van de AVG en het gegevensbeschermingsbeleid en informeren over nieuwe ontwikkelingen. Meer concreet geeft de FG advies met betrekking tot Data Protection Impact Assessments (DPIA's), en zorgt de FG dat de awareness op peil blijft.
Ja, dat bent u wettelijk verplicht (artikel 13, lid 2 onder b, AVG). U moet hierbij duidelijk maken dat het om een nieuw recht gaat, dat uw klanten hebben naast de bestaande privacyrechten.
Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt.
Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden.
Je bent alleen zowel verwerker als verwerkingsverantwoordelijke, als je voor iemand anders gegevens verwerkt én voor jezelf. Als je alleen voor jezelf gegevens verwerkt, dan ben je verwerkingsverantwoordelijke.
3. Wie is verantwoordelijk? De wetgeving definieert drie belangrijke verantwoordelijken voor de GDPR: de betrokkene, de verwerkingsverantwoordelijke en de verwerker. De betrokkene is de natuurlijke persoon van wie de persoonsgegevens verwerkt worden.
Wanneer je als verwerkingsverantwoordelijke aan een andere organisatie (een verwerker) een opdracht verstrekt waarbij verwerking van persoonsgegevens aan de orde is, dien je een verwerkersovereenkomst af te sluiten. Dit is dus ook het geval bij e-mail marketing.