Omgaan met verwerkers

Omgaan met verwerkersJohan Vandendriessche

Partner | Erkelens Law

Visiting Professor ICT & Data Protection Law | UGent | HoWest

HET BEGRIP ‘VERWERKER’

• Verwerker• een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een

dienst of een ander orgaan

• ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken

• Handhaving van definitie van Richtlijn 1995/46/EG• Interpretatie Artikel 29 Werkgroep blijft relevant

• Verwerker is doorgaans dienstverlener

[Title]

TOEPASSING VAN DE AVG

• Fundamentele wijziging in AVG t.o.v. Richtlijn 1995/46/EG• Persoonlijk toepassingsgebied wordt radicaal uitgebreid• Inhoudelijk eerder een evolutie

• Toepassingsgebied uitgebreid naar verwerkers• Materieel toepassingsgebied• Territoriaal toepassingsgebied

• Gevolg• Rechtstreekse wettelijke verplichtingen in hoofde van de verwerker• Rechtstreekse toepassing van het aansprakelijkheidsregime op

verwerkers• ‘Accountability’ niet van toepassing op verwerkers

[Title]

TOEPASSINGSGEBIED

• Territoriaal toepassingsgebied indien vestiging in EU• de verwerking van persoonsgegevens

• in het kader van de activiteiten van een vestiging van een verwerker in de EU

• ongeacht of de verwerking in de EU al dan niet plaatsvindt

• Territoriaal toepassingsgebied indien vestiging buiten EU• de verwerking van persoonsgegevens van betrokkenen die zich in de EU

bevinden

• door een niet in de EU gevestigde verwerker

• wanneer de verwerking verband houdt met:• het aanbieden van goederen of diensten aan deze betrokkenen in de EU, ongeacht of

een betaling door de betrokkenen is vereist

• het monitoren van hun gedrag, voor zover dit gedrag in de EU plaatsvindt.

[Title]

VERPLICHTINGEN VAN DE VERWERKER

• Schriftelijke aanstelling van een vertegenwoordiger indien niet gevestigd in de EU• Niet voor incidentele verwerkingen• Niet voor overheidsinstanties of –organen

• Overeenkomst• Verwerkingsverantwoordelijke• Sub-verwerkers

• Modalisering van de aanstelling van sub-verwerkers

• Bijhouden van een register van verwerkingsactiviteiten

• Bijstandsverplichting t.a.v. de verwerkingsverantwoordelijke

• Medewerkingsplicht t.a.v. de toezichthoudende overheid

• Beveiligingsplicht

• Meldingsplicht inzake inbreuken in verband met persoonsgegevens

[Title]

MODALISERING AANSTELLING SUB-VERWERKERS

• Beperking keuzevrijheid sub-verwerkers• Voorafgaande toestemming van verwerkingsverantwoordelijke

• Specifiek

• Algemeen• Bij aanpassing: informatie over beoogde verandering

• Mogelijkheid van bezwaar in hoofde van verwerkingsverantwoordelijke

• Impact of standaarddiensten?

• Doorschuiven van contractuele verplichtingen• “ononderbroken ketting” van verwerkersovereenkomsten

[Title]

REGISTER VERWERKINGSACTIVITEITEN

• Inhoud• Naam en contactgegevens

• Verwerker• Iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt• Vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker• Functionaris voor gegevensbescherming;

• Categorieën van verwerkingen • Indien van toepassing, doorgiften van persoonsgegevens aan een derde land en

de documenten inzake de passende waarborgen• Indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen

• Vorm• Schriftelijk of elektronisch

[Title]

CONTRACTUELE ASPECTEN VAN DE SAMENWERKING

MET EEN VERWERKER

• Keuze van de verwerker• Beperking in hoofde van de verwerkingsverantwoordelijke• Verwerkers die afdoende garanties bieden

• Passende technische en organisatorische maatregelen• Voldoen aan vereisten van de AVG en de bescherming van de rechten van de

betrokkene• Ruimer dan loutere beveiliging

• Concrete toepassing• Evaluatie in de context van de selectieprocedure• Certificatie• Gedragscodes• Documentatie is aangewezen (beginsel van aantoonbare naleving in hoofde van de

verwerkingsverantwoordelijke)

[Title]


MET EEN VERWERKER

• Verplichte aanwezigheid van overeenkomst of bindende rechtshandeling

• Formele vereisten

• Inhoudelijke vereisten

• Formele vereisten• Schriftelijk of in elektronische vorm

• Onderscheid is niet relevant in Belgisch recht

• Artikel XII.15 WER (geschrift)• een opeenvolging van verstaanbare tekens die toegankelijk zijn voor een latere

raadpleging, welke ook de drager en de transmissiemodaliteiten ervan zijn

[Title]


MET EEN VERWERKER

Inhoudelijke vereisten• Omschrijving hoofdelementen overeenkomst• het onderwerp en de duur van de verwerking• de aard en het doel van de verwerking• het soort persoonsgegevens en de categorieën van betrokkenen• de rechten en verplichtingen van de verwerkingsverantwoordelijke

• Praktische tip: zorg ervoor dat deze omschrijving kan gewijzigd worden zonder proces contractwijziging

• Naleving van deze bepaling is niet steeds voor de hand liggend• Hosting van geëncrypteerde gegevens• Hosting van niet-gestructureerde data• Impact op vrijstelling aansprakelijkheid hosting (artikel XII.19 WER)?

• Overweging 21 bij AVG• Artikel 2, 4° AVG

[Title]


MET EEN VERWERKER

• Inhoudelijke vereisten• Uitdrukkelijke bepaling:

• Verwerking uitsluitend op basis van schriftelijke instructies, behoudens wettelijke verplichting (mits voorafgaande kennisgeving van wettelijke bepaling)• Informatieplicht inzake onwettelijke instructies

• Vertrouwelijkheid in hoofde van tussenkomende personen (contractueel of wettelijk)

• Passende technische en organisatorische maatregelen om bijstand te verlenen bij uitoefening rechten betrokkene

• Beveiligingsplicht• Retransitieverplichting bij einde overeenkomst• Terbeschikkingstelling informatie en bijstand bij audits• Regeling aanstelling sub-verwerkers

[Title]


MET EEN VERWERKER

• Verwerking uitsluitend op basis van schriftelijke instructies, behoudens wettelijke verplichting (mits voorafgaande kennisgeving van wettelijke bepaling)• Informatieplicht inzake onwettelijke instructies

“zal hij enkel de persoonsgegevens verwerken (i) volgens de algemene of specifieke schriftelijke instructies van de Klant of, (ii) voor zover dit nodig zou zijn (en enkel in de mate dat het nodig is), om de Diensten onder deze overeenkomst te kunnen uitvoeren of (iii) voor zover noodzakelijk op grond van een wettelijke verplichting, met dien verstande dat de Dienstverlener in dat geval voor zover mogelijk de Klant zal inlichten”

“inform the Data Controller immediately if it believes that any instruction from the Data Controller infringes applicable data protection legislation and regulations”

[Title]


MET EEN VERWERKER

• Vertrouwelijkheid in hoofde van tussenkomende personen (contractueel of wettelijk)

“ensure that access, inspection, processing and provision of the personal data shall take place only in accordance with the need-to-know principle, i.e. information shall be provided only to those persons who require the personal data for their work in relation to the performance of the Services”

“not disclose the personal data to any person other than to its personnel as necessary to perform its obligations under the Agreement and ensure that such personnel is subject to statutory or contractual confidentiality obligations”

[Title]


MET EEN VERWERKER

• Passende technische en organisatorische maatregelen om bijstand te verlenen bij uitoefening rechten betrokkene

“de Klant onmiddellijk inlichten omtrent elk verzoek van betrokkenen of elke uitoefening van wettelijke rechten door de betrokkenen en de Klant alle nodige medewerking verlenen zodat de Klant eraan kan voldoen”

“alle nodige bijstand aan de Klant verlenen, teneinde de Klant in staat te stellen haar verplichtingen uit de AVG na te leven, waaronder mogelijkerwijze, doch niet beperkt tot, het bijhouden van een verwerkingsregister, het uitvoeren van een gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging”

[Title]


MET EEN VERWERKER

• Beveiligingsplicht

“gepaste technische en organisatorische maatregelen nemen om een veiligheidsniveau te garanderen dat is aangepast aan het risico; de Dienstverlener zal op regelmatige basis het gepaste karakter van de beveiligingsmaatregelen verifiëren en zonodig bijkomende veiligheidsmaatregelen implementeren om steeds het passend veiligheidsniveau te blijven garanderen. Voor zover de lijst van veiligheidsmaatregelen niet werd opgelijst in de Overeenkomst, zal de Dienstverlener op elk ogenblik op eerste verzoek van de Klant de lijst van genomen maatregelen overmaken”

[Title]


MET EEN VERWERKER

• Retransitieverplichting bij einde overeenkomst

“na afloop van de Overeenkomst of, indien eerder, de betreffende Diensten, naar keuze van de Klant, alle persoonsgegevens wissen, dan wel aan de Klant terugbezorgen, behoudens wettelijke bewaarplicht en behoudens andere contractuele bepalingen in deze Overeenkomst”

[Title]


MET EEN VERWERKER

• Terbeschikkingstelling informatie en bijstand bij audit

“alle informatie verstrekken die nodig is om de naleving van de in dit artikel vermelde verplichtingen aan te tonen en volledige medewerking verlenen aan audits van de Klant en/of de toezichthoudende autoriteit”

“alle medewerking verlenen aan de toezichthoudende autoriteit”

“vanaf 25 mei 2018, een register van verwerkingen bijhouden in de zin van artikel 30 van de Algemene Verordening Gegevensbescherming en de relevante uittreksels uit dit register op eerste verzoek aan de Klant meedelen”

[Title]


MET EEN VERWERKER

• Regeling aanstelling sub-verwerkers

“refrain from engaging another data processor without the prior written agreement of the Data Controller”“The Data Processor may appoint sub-processor without the Data Controller’s prior consent. The Data Processor shall inform the Data Controller of any intended changes concerning the addition or replacement of sub-processors. The Data Controller shall have the right to object to any such change.”“The Data Processor shall impose on his sub-processors the same obligations as those applicable to him. The Data Processor shall remain fully liable vis-à-vis the Data Controller.”

[Title]


MET EEN VERWERKER

• Meldingsplicht inbreuken persoonsgegevens

“In case the Processor becomes aware of a personal data breachrelating to the processing of Personal Data by the Processor under or in connection with this Agreement, or circumstances that are likely to giverise to such a personal data breach, the Processor shall immediatelynotify the Controller”

[Title]

SANCTIES TEN AANZIEN VAN DE VERWERKER

• Handhaving• Overschrijding positie

• Bepaling doel en middelen

• Kwalificatie als verwerkingsverantwoordelijke

• Volledige en hoofdelijke aansprakelijkheid• Bij niet-naleving specifieke verplichtingen

• Bij niet naleving instructies

• Sub-verwerkers

• Administratieve geldboetes

[Title]

PRAKTISCHE AANPAK• Vereisten inzake de aanstelling van verwerkers

• Strikter in AVG dan in Richtlijn 95/46/EG: documenteer de toetsing (‘accountability’)

❖ Stappen• Analyseer en wijzig standaardovereenkomsten waar nodig

• Toepassing is verplicht vanaf 25 mei 2018

• Vroegere toepassing kan nuttig zijn

• Identificeer de bestaande verwerkersovereenkomsten• Individuele analyse en aanpassing is mogelijk, maar allicht niet

praktisch/kostefficiënt

• Redigeer een algemeen addendum ter vervanging van bestaande clausules• Vervangen zonder tekstcontrole is mogelijk voor de overeenkomst

• Analyse van de individuele verwerkingen blijft vereist (inhoudelijke bijlage, maar staat los van de overeenkomst

VEEL SUCCES BIJ HET BEHEER VAN UW

VERWERKERS!Johan Vandendriessche

[email protected]

www.erkelenslaw.com

[Title]

Omgaan met verwerkers

Law

Transcript of Omgaan met verwerkers