Hoe omgaan met verwerkers?Johan Vandendriessche

Partner | Crosslaw

Gastprofessor ICT-recht | UGent | HoWest

j.vandendriessche@crosslaw.be

www.crosslaw.be

Het begrip ‘verwerker’

Verwerker een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst

of een ander orgaan

ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken

Handhaving van definitie van Richtlijn 1995/46/EG Interpretatie Artikel 29 Werkgroep blijft relevant

Overheidsinstanties kunnen verwerker zijn Uitdrukkelijke vermelding in definitie

Toepassing van de AVG

Fundamentele wijziging in AVG t.o.v. Richtlijn 1995/46/EG Toepassing wordt radicaal gewijzigd

Inhoudelijk eerder een evolutie

Toepassingsgebied uitgebreid naar verwerkers Materieel toepassingsgebied

Territoriaal toepassingsgebied

Gevolg Rechtstreekse wettelijke verplichtingen in hoofde van de verwerker

Rechtstreekse toepassing van het aansprakelijkheidsregime op verwerkers

Toepassingsgebied

Territoriaal toepassingsgebied indien vestiging in EU de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerker in de

Unie ongeacht of de verwerking in de Unie al dan niet plaatsvindt

Territoriaal toepassingsgebied indien vestiging buiten EU de verwerking van persoonsgegevens van betrokkenen die zich in de Unie

bevinden door een niet in de Unie gevestigde verwerker wanneer de verwerking verband houdt met:

• het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist

• het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

Verplichtingen van de verwerker

Schriftelijke aanstelling van een vertegenwoordiger indien niet gevestigd in de EU Niet voor incidentele verwerkingen Niet voor overheidsinstanties of –organen

Overeenkomst Verwerkingsverantwoordelijke Sub-verwerkers

Modalisering van de aanstelling van sub-verwerkers

Bijhouden van een register van verwerkingsactiviteiten

Medewerkingsplicht t.a.v. de toezichthoudende overheid

Beveiligingsplicht

Meldingsplicht inzake inbreuken in verband met persoonsgegevens

Modalisering aanstelling sub-verwerkers

Beperking keuzevrijheid sub-verwerkers Voorafgaande toestemming van verwerkingsverantwoordelijke

• Specifiek

• Algemeen• Bij aanpassing: informatie over beoogde verandering

• Mogelijkheid van bezwaar in hoofde van verwerkingsverantwoordelijke

• Impact of standaarddiensten?

Doorschuiven van contractuele verplichtingen “ononderbroken ketting” van verwerkersovereenkomsten

Register verwerkingsactiviteiten

Inhoud Naam en contactgegevens

• Verwerker

• Iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt

• Vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker

• Functionaris voor gegevensbescherming;

Categorieën van verwerkingen

Indien van toepassing, doorgiften van persoonsgegevens aan een derde land en de documenten inzake de passende waarborgen

Indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen

Vorm Schriftelijk of elektronisch

Contractuele aspecten van de samenwerking met een verwerker

Keuze van de verwerker Beperking in hoofde van de verwerkingsverantwoordelijke

Verwerkers die afdoende garanties bieden• Passende technische en organisatorische maatregelen

• Voldoen aan vereisten van de AVG en de bescherming van de rechten van de betrokkene

• Ruimer dan loutere beveiliging

Concrete toepassing• Evaluatie in de context van de selectieprocedure

• Certificatie

• Gedragscodes

• Documentatie is aangewezen (beginsel van aantoonbare naleving)

Contractuele aspecten van de samenwerking met een verwerker

Verplichte aanwezigheid van overeenkomst of bindende rechtshandeling Formele vereisten

Inhoudelijke vereisten

Formele vereisten Schriftelijk of in elektronische vorm

Onderscheid is niet relevant in Belgisch recht

Artikel XII.15 WER (geschrift)• een opeenvolging van verstaanbare tekens die toegankelijk zijn voor een latere

raadpleging, welke ook de drager en de transmissiemodaliteiten ervan zijn

Contractuele aspecten van de samenwerking met een verwerker

Inhoudelijke vereisten Omschrijving hoofdelementen overeenkomst het onderwerp en de duur van de verwerking de aard en het doel van de verwerking het soort persoonsgegevens en de categorieën van betrokkenen de rechten en verplichtingen van de verwerkingsverantwoordelijke

Naleving van deze bepaling is niet steeds voor de hand liggend Hosting van geëncrypteerde gegevens Hosting van niet-gestructureerde data Impact op vrijstelling aansprakelijkheid hosting (artikel XII.19 WER)?

• Overweging 21 bij AVG• Artikel 2, 4° AVG

Contractuele aspecten van de samenwerking met een verwerker

Inhoudelijke vereisten Uitdrukkelijke bepaling:

• Verwerking uitsluitend op basis van schriftelijke instructies, behoudens wettelijke verplichting (mits voorafgaande kennisgeving van wettelijke bepaling)• Informatieplicht inzake onwettelijke instructies

• Vertrouwelijkheid in hoofde van tussenkomende personen (contractueel of wettelijk)

• Passende technische en organisatorische maatregelen om bijstand te verlenen bij uitoefening rechten betrokkene

• Beveiligingsplicht

• Retransitieverplichting bij einde overeenkomst

• Terbeschikkingstelling informatie en bijstand bij audits

• Regeling aanstelling sub-verwerkers

Sancties ten aanzien van de verwerker

Handhaving Overschrijding positie

• Bepaling doel en middelen

• Kwalificatie als verwerkingsverantwoordelijke

Volledige en hoofdelijke aansprakelijkheid• Bij niet-naleving specifieke verplichtingen

• Bij niet naleving instructies

• Sub-verwerkers

Administratieve geldboetes

Vragen?

Brussels - Kortrijk | www.crosslaw.be