Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Deze wet heeft niet alleen gevolgen voor je website. De verwerking van persoonsgegevens vindt ook plaats binnen je organisatie en mogelijk is er ook uitwisseling van persoonsgegevens tussen jouw bedrijf en een ander bedrijf.
Op internet zijn diverse artikelen verschenen over wat je moet doen om te voldoen aan de AVG. Veel informatie vind je bijvoorbeeld op de website Autoriteit Persoonsgegevens.
Verwerkingsverantwoordelijken en verwerkers moeten samen een verwerkersovereenkomst afsluiten.
Verwerkersovereenkomst
Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking van persoonsgegevens een ander bedrijf inschakelt.
Een verwerkersovereenkomst is een contract tussen twee partijen, namelijk:
- De verwerkingsverantwoordelijke: de organisatie die verantwoordelijk wordt gehouden voor wat er met de persoonsgegevens gebeurt.
- De verwerker: een externe partij die door de verantwoordelijke wordt ingeschakeld om de persoonsgegevens te verwerken die een deel of de gehele verwerking uit handen neemt van de verantwoordelijke.
In de overeenkomst wordt vastgelegd hoe de verwerker met de persoonsgegevens van de verwerkingsverantwoordelijke moet omgaan.
Wanneer je bijvoorbeeld je administratie uitbesteedt, dan ben jij de verwerkingsverantwoordelijke en degene aan wie je het uitbesteedt is de verwerker. Omdat de verwerker inzage heeft in persoonsgegevens van jouw klanten, valt dit onder de AVG en ben je verplicht om een verwerkersovereenkomst af te sluiten.
Hosting en de AVG
Als je een contactformulier op je website hebt staan, is de partij waar je website wordt gehost de verwerker omdat hij de persoonsgegevens (hopelijk veilig) opslaat op de server.
En als je een domeinnaam bij ons registreert, geef je daarvoor je persoonsgegevens door en Stip Hosting (verwerker) gebruikt deze gegevens bij de registratie van de domeinnaam.
Webdesigners
Breng je als webdesigner je klanten onder bij Stip Hosting en registreer je daarbij ook de domeinnamen bij Stip Hosting, dan ben je verwerkingsverantwoordelijke omdat je daarvoor bepaalde persoonsgegevens van je klant moet doorgeven aan ons die nodig zijn om de domeinnaam te kunnen registreren. Jij en Stip Hosting hebben dan een verwerkersovereenkomst nodig.
Registreer je de domeinnamen van je je klanten elders, dan hebben wij de persoonsgegevens van je klanten niet nodig, want je hoeft ons dan niet de persoonsgegevens van je klanten te verstrekken. Toch is het aan te raden om wel een verwerkersovereenkomst af te sluiten omdat het voor een hostingprovider niet zo moeilijk is om via de hosting server bepaalde technische gegevens te herleiden tot een persoon.
Inhoud van de verwerkersovereenkomst
Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Je bent verplicht een verwerkersovereenkomst af te sluiten en je dient er als verwerkingsverantwoordelijke voor te zorgen dat deze overeenkomst wordt nageleefd.
In de overeenkomst leg je het volgende vast (bron: https://autoriteitpersoonsgegevens.nl).
Algemene beschrijving
Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en je rechten en verplichtingen als verwerkingsverantwoordelijke.
Instructies verwerking
De verwerking vindt in principe uitsluitend plaats op basis van de schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
Geheimhoudingsplicht
Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
Beveiliging
De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
Subverwerkers
De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting de verwerkingsverantwoordelijke heeft.
In de overeenkomst kunnen ook afgesproken worden dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de subverwerker.
Privacyrechten
De verwerker helpt de verwerkingsverantwoordelijke om te voldoen aan diens plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
Andere verplichtingen
De verwerker helpt de verwerkingsverantwoordelijke ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
Gegevens verwijderen
Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of geeft hij deze aan de verwerkingsverantwoordelijke terug (bij gegevens op papier, USB-stick of andere gegevensdragers), als deze dat wil. Ook verwijdert de verwerker kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
Audits
De verwerker werkt mee aan audits van de verwerkingsverantwoordelijke of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.
Jouw verwerkersovereenkomst met Stip Hosting
Onze verwerkersovereenkomst is als bijlage bijgevoegd bij onze algemene voorwaarden (Bijlage – Verwerking Persoonsgegevens) en maken onderdeel uit van de algemene voorwaarden. Met het accepteren van onze algemene voorwaarden ga je tevens akkoord met de voorwaarden van de Bijlage – Verwerking Persoonsgegevens.
Breng je als webdesigners je klanten onder bij Stip Hosting, dan sluiten we een eigen verwerkersovereenkomst met jou af.
