Overeenkomsten gegevensverwerking

Image of Iron Brands

Gepubliceerd op 1 jun 2023 en bijgewerkt op 15 aug 2023 door Iron Brands

Gegevensverwerkers spelen een cruciale rol in de digitale economie. Alle organisaties vertrouwen op de een of andere manier op gegevensverwerkers: e-mails, clouddiensten en elektronische betalingen zouden volledig onmogelijk zijn zonder hen.

In dit artikel leggen we uit wat een gegevensverwerker en een gegevensverwerkingsovereenkomst precies zijn en wat er in een gegevensverwerkingsovereenkomst moet staan.

  1. Wat zijn verwerkingsverantwoordelijken en verwerkers?
  2. Wat is een gegevensverwerkingsovereenkomst?
  3. Waarom heb je een gegevensverwerkingsovereenkomst nodig?
  4. Als ik eenmaal een DPA heb ondertekend, mag ik de gegevens dan openbaar maken?
  5. Is mijn gegevensverstrekking GDPR compliant?
  6. Ben ik vrijgesteld van aansprakelijkheid na ondertekening van een DPA?
  7. Conclusies
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Laten we erin duiken!

Wat zijn verwerkingsverantwoordelijken en verwerkers?

"Gegevensbeheerder" en "gegevensverwerker" zijn zeer belangrijke begrippen in de GDPR en privacywetgeving. In feite bestaan er soortgelijke begrippen in veel andere privacywetten dan de GDPR, zoals de California Online Privacy Protection Act van 2003 (CalOPPA) en soortgelijke overeenkomsten.

Onder de GDPR bepaalt een verwerkingsverantwoordelijke welke persoonsgegevens worden verwerkt, hoe ze worden verwerkt en met welk doel. Met andere woorden, hij bepaalt wat er gebeurt. Een verwerker daarentegen verwerkt de gegevens namens en volgens de instructies van de verwerkingsverantwoordelijke. Een verwerker kan ook gegevens verwerken namens een andere verwerker, wat een subverwerker wordt genoemd.

De meeste webanalysediensten gebruiken bijvoorbeeld alleen bezoekersgegevens om hun klanten inzichten te geven. In een dergelijk scenario is de klant een verwerkingsverantwoordelijke omdat hij beslist welke gegevens worden verzameld en geanalyseerd en voor welk doel. Aan de andere kant is de analytics provider een verwerker. De analytics provider vertrouwt vaak op subverwerkers voor gegevensopslag, levering van content en dergelijke.

Dit klinkt eenvoudig genoeg, maar dat is het niet. Er is een behoorlijk grijs gebied tussen controllership en processorship, waardoor sommige scenario's lastig te classificeren zijn.

Om het nog ingewikkelder te maken, is gezamenlijk beheer ook mogelijk onder de GDPR. Gezamenlijk beheer vindt plaats wanneer twee of meer verwerkingsverantwoordelijken dezelfde gegevens verwerken terwijl ze hun eigen doelen nastreven. Gezamenlijke verantwoordelijken komen overeen hoe bepaalde verantwoordelijkheden worden gedeeld, maar nemen geen instructies van elkaar aan.

Een voorbeeld. Stel dat een bedrijf besluit een beroep te doen op de diensten van een AI-bedrijf om te helpen met marktonderzoek op basis van persoonlijke gegevens van klanten. Het AI-bedrijf gebruikt de gegevens voor twee verschillende doeleinden: marktonderzoek en het trainen van het AI-model om de prestaties verder te verbeteren. In dit geval zijn de twee bedrijven gezamenlijke verantwoordelijken voor de verwerking, omdat ze allebei een rol spelen in de verwerking terwijl ze hun eigen doelen nastreven.

Google Analytics is een ander voorbeeld. De rol van Google bij het leveren van de dienst hangt af van de instellingen die de klant kiest (dat wil zeggen, de eigenaar van de website die Google Analytics gebruikt). Als de instelling voor het delen van gegevens is uitgeschakeld, treedt Google op als gegevensverwerker en gebruikt Google alleen de gegevens die door Google Analytics zijn verzameld om de klant analytics te bieden.

Aan de andere kant, als het delen van gegevens is ingeschakeld door de klant, gebruikt Google de gegevens ook om andere services in het Google-ecosysteem te verbeteren. In dat geval beslist Google wat er met de gegevens wordt gedaan en is Google samen met de klant een gezamenlijke verwerkingsverantwoordelijke.

Er moeten nog twee dingen worden opgemerkt. Ten eerste hebben de begrippen verwerkingsverantwoordelijke en verwerker alleen zin als het gaat om persoonsgegevens. Je kunt geen verwerkingsverantwoordelijke of verwerker zijn van niet-persoonlijke gegevens, omdat de GDPR niet van toepassing is op dergelijke gegevens.

Ten tweede zijn verwerkingsverantwoordelijke en verwerker inhoudelijke begrippen. Met andere woorden, ze hangen volledig af van wat je met de gegevens doet in plaats van hoe je jezelf noemt in je DPA, algemene voorwaarden en dergelijke. Als je je gedraagt als een verwerkingsverantwoordelijke, zullen rechtbanken je behandelen als een verwerkingsverantwoordelijke, ongeacht wat er in je juridische documentatie staat.

Wat is een gegevensverwerkingsovereenkomst?

De GDPR staat alleen een beroep op een verwerker toe wanneer een contract bepaalde aspecten van de gegevensverwerking regelt. Dit contract wordt een gegevensverwerkingsovereenkomst of DPA genoemd (niet te verwarren met gegevensbeschermingsautoriteiten, die ook worden afgekort tot DPA's).

Een geldige DPA moet bepaalde bepalingen bevatten. De verwerker:

  • moet de instructies van de verwerkingsverantwoordelijke opvolgen en mag de gegevens niet voor eigen doeleinden verwerken
  • moet de gegevens op een veilige manier verwerken
  • moet ervoor zorgen dat al het personeel dat betrokken is bij de verwerking een geheimhoudingsplicht heeft
  • moet waar mogelijk de verwerkingsverantwoordelijke helpen bij het reageren op verzoeken in het kader van de GDPR (zoals verzoeken om toegang of verwijdering)
  • moet persoonsgegevens wissen of retourneren zodra de dienst eindigt
  • moet de verwerkingsverantwoordelijke helpen met bepaalde verplichtingen onder de GDPR, waaronder het melden van datalekken en het uitvoeren van effectbeoordelingen van gegevensverwerking (DPIA's)
  • moet beschikbaar zijn voor controle door de verwerkingsverantwoordelijke.

Een DPA is ook nodig wanneer een verwerker een subverwerker inschakelt. In dit geval heeft de verwerker schriftelijke toestemming nodig van de verwerkingsverantwoordelijke en de gegevensbeschermingsovereenkomst met de subverwerker moet alle gegevensbeschermingsverplichtingen behouden die zijn opgenomen in de oorspronkelijke gegevensbeschermingsovereenkomst met de verwerkingsverantwoordelijke. Met andere woorden, privacybescherming kan niet worden afgezwakt.

Dat is veel om te onthouden, maar maak je geen zorgen: je hoeft dit waarschijnlijk niet zelf te schrijven. Bedrijven die als kernactiviteit verwerkers zijn, hebben meestal standaard DPA's voor klanten.

Dat gezegd hebbende, als je een algemeen idee hebt van wat er in een DPA moet staan, kun je er een doornemen en ervoor zorgen dat alles op zijn plaats staat (en natuurlijk kun je altijd artikel 28(3) GDPR raadplegen om je geheugen op te frissen).

Waarom heb je een gegevensverwerkingsovereenkomst nodig?

Dat is allemaal goed en wel, maar waarom vereist de GDPR een DPA?

Voor de verwerking verantwoordelijken hebben verplichtingen onder de GDPR. Ze moeten gegevens rechtmatig, eerlijk en transparant verwerken, zorgen voor beveiliging, reageren op verzoeken om toegang, datalekken melden, enzovoort. Al deze verplichtingen zijn erop gericht om bepaalde normen voor gegevensbescherming te waarborgen.

De gegevensbeschermingsautoriteiten beschermen deze normen wanneer er een gegevensverwerker of subverwerker bij betrokken is. Ze spelen een belangrijke rol in privacy omdat de waardeketens van gegevensverwerking behoorlijk lang en complex kunnen zijn.

Kortom, DPA's zijn niet alleen vervelend juridisch papierwerk: ze beschermen uw gegevens.

Bovendien is een goed opgestelde DPA nuttig voor de partijen zelf, omdat ze er naar kunnen verwijzen om precies te weten hoe de verwerkingsverantwoordelijkheden tussen hen zijn verdeeld.

Als ik eenmaal een DPA heb ondertekend, mag ik de gegevens dan openbaar maken?

Onder de GDPR moet elke verwerking van persoonlijke gegevens aan bepaalde regels voldoen. Dit geldt ook voor het openbaar maken van persoonsgegevens aan een verwerker. Het ondertekenen van een DPA garandeert dus niet dat je de gegevens legaal mag vrijgeven.

Je moet bijvoorbeeld een wettelijke basis hebben voor het verwerken van de gegevens (we hebben het onderwerp hier besproken), transparante informatie verstrekken, ervoor zorgen dat je vertrouwt op de juiste waarborgen voor de overdracht van gegevens buiten de EU en het principe van dataminimalisatie respecteren (dat wil zeggen, alleen de gegevens nemen die je echt nodig hebt en ze op de minst invasieve manier behandelen).

Dit zijn slechts enkele van de criteria die samen bepalen of een openbaarmaking van persoonsgegevens is toegestaan onder de GDPR. Als jij de verantwoordelijke bent voor de gegevensverwerking, dan is het jouw verantwoordelijkheid om ervoor te zorgen dat de regels worden nageleefd. Het ondertekenen van een DPIA betekent niet automatisch dat de openbaarmaking van persoonsgegevens aan alle voorwaarden voldoet - je moet de zaken vanuit een breder perspectief bekijken.

Is mijn gegevensverstrekking GDPR compliant?

Zoals we al zeiden, is een geldige DPIA slechts één van de vele selectievakjes. Dus wat zijn de andere?

Een checklist heeft hier weinig zin. De meeste regels die van toepassing zijn op de openbaarmaking van gegevens zijn algemene regels die gelden voor elke verwerking van persoonlijke gegevens, of dat nu het verzamelen, opslaan of zelfs wissen van die gegevens is. Dat is echt een lange lijst, want we hebben het hier over bijna de hele GDPR,

Als je er zeker van wilt zijn dat de gegevens die je aan je verwerker verstrekt GDPR compliant zijn, is het beter om bij de basis te beginnen. Artikel 5 GDPR geeft een overzicht van alle kernprincipes van de GDPR. Het artikel is veel waardevoller dan welke compliance checklist dan ook, omdat het een kijkje geeft in de betekenis van de GDPR.

Met enig begrip van de algemene principes kun je naar je gegevensverstrekking kijken en jezelf de juiste vragen gaan stellen. Bijvoorbeeld:

  • Moet ik de gegevens echt bekendmaken aan een verwerker?
  • Verstrek ik alleen de gegevens die mijn verwerker echt nodig heeft om zijn werk te doen?
  • Zal mijn verwerker de gegevens na een redelijke tijd wissen?
  • Weet ik wat de openbaarmaking rechtmatig maakt? Als iemand het mij zou vragen, zou ik het dan kunnen uitleggen?

Vergeet niet om de openbaarmaking ook te bekijken vanuit het perspectief van de betrokkenen, dat wil zeggen de mensen op wie de gegevens betrekking hebben. De betrokkenen kunnen je klanten, websitebezoekers of iemand anders zijn die helemaal geen relatie met je heeft - bijvoorbeeld de mensen van wie je de persoonlijke gegevens gebruikt om een AI-model te trainen.

(AI's werpen overigens zeer ernstige privacykwesties op. Als je een AI-model traint op basis van persoonlijke gegevens, schakel dan privacyprofessionals in vanaf de ontwerpfase!)

Betrokkenen hebben recht op informatie. Heb je stappen ondernomen om de betrokkenen te informeren dat je verwerker betrokken is? Heb je deze informatie op een duidelijke en toegankelijke manier verstrekt?

Betrokkenen kunnen ook specifieke rechten uitoefenen onder de GDPR. Ze kunnen bijvoorbeeld van de verwerkingsverantwoordelijke eisen dat hij hun persoonsgegevens corrigeert of wist, of dat hij hen toegang verschaft tot de gegevens.

Wat gebeurt er als een betrokkene een van deze rechten uitoefent? Kun je zelfstandig aan het verzoek voldoen of moet je verwerker zich ermee bemoeien? Is je verwerker echt in staat en bereid om je te helpen met dergelijke verzoeken, ongeacht wat je gegevensbeschermingsautoriteit zegt?

Dit zijn enkele van de vragen die je jezelf moet stellen als je de kwestie bekijkt vanuit het perspectief van de betrokkene. Het is gemakkelijk om je te concentreren op de positie van je organisatie en het hele plaatje uit het oog te verliezen. Maar er zitten mensen achter de gegevens en je moet je in hun schoenen verplaatsen om te voldoen aan de privacywetgeving.

Ben ik vrijgesteld van aansprakelijkheid na ondertekening van een DPA?

Nee. Het ondertekenen van een DPA ontslaat u niet van aansprakelijkheid. Daarom is het van cruciaal belang dat je vertrouwt op betrouwbare en GDPR-conforme verwerkers.

Dit betekent niet dat je per se aansprakelijk wordt gesteld als er iets misgaat. Maar onder de GDPR is er een soort vermoeden dat als er iets misgaat op het gebied van privacy, de verwerkingsverantwoordelijke in gebreke is. Je kunt aansprakelijkheid vermijden door te bewijzen dat je niet verantwoordelijk bent voor het incident, maar de bewijslast ligt volledig bij jou en dat is riskant.

Daarom beoordelen grote organisaties de compliance van hun verwerkers grondig en documenteren ze de beoordeling. Deze gedocumenteerde beoordeling wordt een leveranciersrisicobeoordeling genoemd en dient twee doelen. Ten eerste kan de verwerkingsverantwoordelijke zich ervan verzekeren dat de verwerker betrouwbaar is. Ten tweede, als er iets misgaat, kan een goed geschreven vendor risk assessment de controller helpen bewijzen dat hij zijn compliance huiswerk heeft gedaan.

De meeste kleine bedrijven beschikken niet over de middelen en expertise om risicobeoordelingen van leveranciers uit te voeren. Ze kunnen er echter wel baat bij hebben om hun verwerkers te onderzoeken en ervoor te zorgen dat ze een goede reputatie hebben op het gebied van naleving.

Conclusies

Privacy gaat niet over het aanvinken van vakjes op een compliance checklist. Het gaat erom de redenen achter de regels te begrijpen en te zorgen voor de mensen achter de gegevens.

Bij Simple Analytics geven we om privacy. En in tegenstelling tot andere bedrijven menen we dat echt. Privacy is de hoeksteen van Simple Analytics en niet slechts een laagje verf. We hebben onze software gebouwd om organisaties alle inzichten te geven die ze nodig hebben om hun websites en campagnes te optimaliseren zonder de persoonlijke gegevens van bezoekers te gebruiken. Als dit u goed in de oren klinkt, probeer ons dan gerust eens uit!

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode