hoe omgaan met verwerkers (avg)?
TRANSCRIPT
Hoe omgaan met verwerkers?Johan Vandendriessche
Partner | Crosslaw
Gastprofessor ICT-recht | UGent | HoWest
www.crosslaw.be
Het begrip ‘verwerker’
Verwerker een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst
of een ander orgaan
ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken
Handhaving van definitie van Richtlijn 1995/46/EG Interpretatie Artikel 29 Werkgroep blijft relevant
Overheidsinstanties kunnen verwerker zijn Uitdrukkelijke vermelding in definitie
Toepassing van de AVG
Fundamentele wijziging in AVG t.o.v. Richtlijn 1995/46/EG Toepassing wordt radicaal gewijzigd
Inhoudelijk eerder een evolutie
Toepassingsgebied uitgebreid naar verwerkers Materieel toepassingsgebied
Territoriaal toepassingsgebied
Gevolg Rechtstreekse wettelijke verplichtingen in hoofde van de verwerker
Rechtstreekse toepassing van het aansprakelijkheidsregime op verwerkers
Toepassingsgebied
Territoriaal toepassingsgebied indien vestiging in EU de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerker in de
Unie ongeacht of de verwerking in de Unie al dan niet plaatsvindt
Territoriaal toepassingsgebied indien vestiging buiten EU de verwerking van persoonsgegevens van betrokkenen die zich in de Unie
bevinden door een niet in de Unie gevestigde verwerker wanneer de verwerking verband houdt met:
• het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist
• het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Verplichtingen van de verwerker
Schriftelijke aanstelling van een vertegenwoordiger indien niet gevestigd in de EU Niet voor incidentele verwerkingen Niet voor overheidsinstanties of –organen
Overeenkomst Verwerkingsverantwoordelijke Sub-verwerkers
Modalisering van de aanstelling van sub-verwerkers
Bijhouden van een register van verwerkingsactiviteiten
Medewerkingsplicht t.a.v. de toezichthoudende overheid
Beveiligingsplicht
Meldingsplicht inzake inbreuken in verband met persoonsgegevens
Modalisering aanstelling sub-verwerkers
Beperking keuzevrijheid sub-verwerkers Voorafgaande toestemming van verwerkingsverantwoordelijke
• Specifiek
• Algemeen• Bij aanpassing: informatie over beoogde verandering
• Mogelijkheid van bezwaar in hoofde van verwerkingsverantwoordelijke
• Impact of standaarddiensten?
Doorschuiven van contractuele verplichtingen “ononderbroken ketting” van verwerkersovereenkomsten
Register verwerkingsactiviteiten
Inhoud Naam en contactgegevens
• Verwerker
• Iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt
• Vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker
• Functionaris voor gegevensbescherming;
Categorieën van verwerkingen
Indien van toepassing, doorgiften van persoonsgegevens aan een derde land en de documenten inzake de passende waarborgen
Indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen
Vorm Schriftelijk of elektronisch
Contractuele aspecten van de samenwerking met een verwerker
Keuze van de verwerker Beperking in hoofde van de verwerkingsverantwoordelijke
Verwerkers die afdoende garanties bieden• Passende technische en organisatorische maatregelen
• Voldoen aan vereisten van de AVG en de bescherming van de rechten van de betrokkene
• Ruimer dan loutere beveiliging
Concrete toepassing• Evaluatie in de context van de selectieprocedure
• Certificatie
• Gedragscodes
• Documentatie is aangewezen (beginsel van aantoonbare naleving)
Contractuele aspecten van de samenwerking met een verwerker
Verplichte aanwezigheid van overeenkomst of bindende rechtshandeling Formele vereisten
Inhoudelijke vereisten
Formele vereisten Schriftelijk of in elektronische vorm
Onderscheid is niet relevant in Belgisch recht
Artikel XII.15 WER (geschrift)• een opeenvolging van verstaanbare tekens die toegankelijk zijn voor een latere
raadpleging, welke ook de drager en de transmissiemodaliteiten ervan zijn
Contractuele aspecten van de samenwerking met een verwerker
Inhoudelijke vereisten Omschrijving hoofdelementen overeenkomst het onderwerp en de duur van de verwerking de aard en het doel van de verwerking het soort persoonsgegevens en de categorieën van betrokkenen de rechten en verplichtingen van de verwerkingsverantwoordelijke
Naleving van deze bepaling is niet steeds voor de hand liggend Hosting van geëncrypteerde gegevens Hosting van niet-gestructureerde data Impact op vrijstelling aansprakelijkheid hosting (artikel XII.19 WER)?
• Overweging 21 bij AVG• Artikel 2, 4° AVG
Contractuele aspecten van de samenwerking met een verwerker
Inhoudelijke vereisten Uitdrukkelijke bepaling:
• Verwerking uitsluitend op basis van schriftelijke instructies, behoudens wettelijke verplichting (mits voorafgaande kennisgeving van wettelijke bepaling)• Informatieplicht inzake onwettelijke instructies
• Vertrouwelijkheid in hoofde van tussenkomende personen (contractueel of wettelijk)
• Passende technische en organisatorische maatregelen om bijstand te verlenen bij uitoefening rechten betrokkene
• Beveiligingsplicht
• Retransitieverplichting bij einde overeenkomst
• Terbeschikkingstelling informatie en bijstand bij audits
• Regeling aanstelling sub-verwerkers
Sancties ten aanzien van de verwerker
Handhaving Overschrijding positie
• Bepaling doel en middelen
• Kwalificatie als verwerkingsverantwoordelijke
Volledige en hoofdelijke aansprakelijkheid• Bij niet-naleving specifieke verplichtingen
• Bij niet naleving instructies
• Sub-verwerkers
Administratieve geldboetes
Vragen?
Brussels - Kortrijk | www.crosslaw.be