09/10/19

Verwerkersovereenkomsten: tips en tricks.

Wat u moet weten.

Artikel 28 GDPR vereist dat een verwerkingsverantwoordelijke en een verwerker (zie, GDPR Toolkit 09) een verwerkersovereenkomst afsluiten. Ondernemingen mogen immers enkel een beroep doen op verwerkers die afdoende passende technische en organisatorische maatregelen bieden om een AVG-conforme verwerking te kunnen garanderen. Die garanties worden opgenomen in een overeenkomst.

De GDPR bepaalt niet in welke vorm die overeenkomst moet worden gesloten zolang het een (naar nationaal recht) bindend juridisch document is. Verwerkers die producten verkopen aan duizenden klanten zullen vaak met eenzijdig opgelegde voorwaarden werken die zij ter beschikking stellen via hun website.

Vergeet niet dat ook entiteiten binnen eenzelfde groep van ondernemingen zich in een verhouding van verwerkingsverantwoordelijke / verwerker kunnen bevinden. Ook binnen een ondernemingsgroep moeten dus de nodige afspraken worden gemaakt conform artikel 28 GDPR.


Wat u moet doen.

Bij het opstellen en/of nazicht van een (eenzijdig opgelegde) verwerkersovereenkomst moet u er in eerste instantie op toezien dat de overeenkomst alle door artikel 28 GDPR verplichte vermeldingen bevat.

Opdat de verwerkersovereenkomst ook in de praktijk een werkbaar document is, geven wij doorgaans ook volgende aanbevelingen:

  • De concrete omschrijving van de verwerkingsactiviteit(en) (o.m. duur, aard, doel, categorieën van betrokkenen en persoonsgegevens, …) wordt bij voorkeur opgenomen in een bijlage zodat deze eenvoudig kan worden aangepast.
     
  • Om te vermijden dat de verwerkingsverantwoordelijke voor elke inwisseling van een subverwerker zijn voorafgaande toestemming moet geven, kan een algemene toestemming worden gegeven gekoppeld aan bepaalde voorwaarden, bijvoorbeeld dat het moet gaan om subverwerkers met een gelijkaardig profiel gevestigd binnen de EER.
     
  • Standaardclausules die bepalen dat partijen alle toepasselijke wetgeving, richtsnoeren, gedragscodes, … in de relevante jurisdicties zullen naleven, zijn in de praktijk moeilijk werkbaar. Dit geldt zeker voor verwerkers. Een oplossing kan erin bestaan dat de verwerkingsverantwoordelijke de verwerker moet informeren over alle dwingende nationale wetgeving die van toepassing is op de verwerker als gevolg van de verwerking.
     
  • Bij ondernemingsgroepen is het aangewezen om een beding ten behoeve van een derde op te nemen. Zo hoeft niet elke entiteit van de groep een afzonderlijke verwerkersovereenkomst te sluiten met derde partijen.
     
  • Voor verwerkingsactiviteiten binnen een ondernemingsgroep is het tot slot zinvol om de overeenkomst ruimer op te stellen zodat die elke (vorm van) doorgifte van persoonsgegevens binnen de groep dekt. Dergelijke overeenkomst bevat dan in bijlage zowel een verwerkersovereenkomst, een taakverdeling voor gezamenlijke verwerkingsactiviteiten en de modelcontractbepalingen voor doorgiftes buiten de EER. Vaak wordt de moedervennootschap gemachtigd om nieuwe entiteiten te laten toetreden en verwerkersovereenkomsten met derde partijen te sluiten.


Auteurs:

Anouk Focquet
anouk.focquet@contrast-law.be

Eline Declerck
eline.declerck@contrast-law.be

dotted_texture