Wat is het verband tussen een verwerkersovereenkomst en een DPIA?
Wat is het verband tussen een verwerkersovereenkomst en een DPIA?
Een DPIA (Data Privacy Impact Assessment) en een verwerkersovereenkomst zijn beide cruciale instrumenten in het waarborgen van privacy en gegevensbescherming binnen bedrijven en Zorg & Welzijn organisaties.
Tijdens een DPIA worden verwerkingsactiviteiten geïdentificeerd die door derde partijen (verwerkers) worden uitgevoerd. Dit benadrukt de noodzaak tot het opstellen of evalueren van bestaande verwerkersovereenkomsten.
Daarnaast helpt een DPIA bedrijven en Zorg & Welzijn organisaties bij het identificeren van privacy risico’s en het formuleren van maatregelen om deze te beheersen. Deze maatregelen moeten vervolgens worden opgenomen in de verwerkersovereenkomst om ervoor te zorgen dat de verwerker ook aan deze eisen voldoet.
De uitkomsten van de DPIA kunnen bepalingen in de verwerkersovereenkomst bovendien beïnvloeden. Bijvoorbeeld, als een DPIA aangeeft dat er extra beveiligingsmaatregelen nodig zijn, moeten deze maatregelen contractueel worden vastgelegd in de verwerkersovereenkomst.
Beide instrumenten helpen bedrijven en Zorg & Welzijn organisaties te voldoen aan de AVG.
Een DPIA zorgt ervoor dat privacy risico’s proactief worden beheerd, terwijl een verwerkersovereenkomst ervoor zorgt dat de relatie tussen verwerkingsverantwoordelijke en verwerker duidelijk en juridisch bindend is geregeld.
Hieronder hebben we de betekenis van de verwerkersovereenkomst en de DPIA verder uitgediept en eindigen we dit artikel met een helder advies.
Wat is een verwerkersovereenkomst?
Een organisatie die verwerkingsverantwoordelijke is kan een andere organisatie inschakelen om persoonsgegevens voor hem te verwerken. Bijvoorbeeld voor het uitbesteden van de boekhouding. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat.
Deze andere organisatie wordt een verwerker genoemd. In dat geval is het verplicht een verwerkersovereenkomst op te stellen.
Welke afspraken leg je vast in een verwerkersovereenkomst?
Een verwerkersovereenkomst bevat de afspraken die de verwerkingsverantwoordelijke en de verwerker hebben gemaakt over de verwerkingen die de verwerker mag uitvoeren van en voor de verwerkingsverantwoordelijke.
Welke onderwerpen kom je tegen in een verwerkersovereenkomst?
Over het algemeen zijn onderstaande onderwerpen in de verwerkersovereenkomsten terug te vinden.
Algemene zaken
Volgens art. 28 AVG dient in ieder geval gespecificeerd te zijn:
- Onderwerp en duur van de verwerking
- De aard en het doel van de verwerking
- Het soort persoonsgegevens
- Rechten en verplichtingen van de verwerkingsverantwoordelijke
- De categorieën van verwerking van de betrokkenen.
Verwerking in overeenstemming met instructies verantwoordelijke
De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
Geheimhouding
In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
Beveiligingsmaatregelen
De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens, in overeenstemming met het risico van de verwerking, te beveiligen tegen verlies e.d.
Inschakelen van derden en onderaannemers
In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker sub verwerkers mag inschakelen.
Locatie van de data
De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
Audits
De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen nadere afspraken maken over dit auditrecht.
Aansprakelijkheid
De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.
Omdat de risico’s rondom verwerkingen niet statisch zijn is het nodig een verwerkersovereenkomst periodiek te herzien en bij te stellen.
Voordelen van een externe FG voor zorgorganisaties
Er zijn verschillende voordelen verbonden aan het aanstellen van een externe FG in plaats van een interne FG voor zorgorganisaties. Lees er meer over in ons e-boek. Download gratis, klik hier >>
Wat is een DPIA?
Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacy risico’s ontstaan als je persoonsgegevens gebruikt. Een data protection impact assessment laat ook zien waar je als bedrijf of Zorg & Welzijn organisatie maatregelen moet nemen om de risico’s te verkleinen of te voorkomen. Je voert een DPIA uit voordat je begint met het bewaren, gebruiken en delen van persoonsgegevens.
Wanneer is een DPIA verplicht?
Als bedrijf of Zorg & Welzijn organisatie ben je zelf verantwoordelijk voor het bepalen of het gegevensverwerkingsproces een hoog privacy risico met zich meebrengt en dus een DPIA zou moeten ondergaan.
Verschillende organisaties hebben hiervoor richtlijnen opgesteld, waaronder de Algemene Verordening Gegevensbescherming (AVG), de Autoriteit Persoonsgegevens (AP) en de Europese privacy toezichthouders.
De AVG richtlijnen
Volgens de AVG moet je in ieder geval een DPIA uitvoeren in de volgende situaties:
- Wanneer je systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt, wat je doet op basis van geautomatiseerde verwerking van persoonsgegevens en waarop je besluiten baseert die gevolgen hebben voor mensen.
- Als je op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens omvatten gevoelige informatie zoals ras, etnische afkomst, politieke opvattingen, religie, gezondheidsgegevens, seksuele geaardheid, etc.
- Als je strafrechtelijke gegevens verwerkt, zoals gegevens over strafbare feiten of veroordelingen.
- Indien je op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld via cameratoezicht of volgtechnieken.
Hoe voer je een Data Privacy Impact Assessment (DPIA) uit?
Een DPIA is een systematisch onderzoek dat helpt om voorafgaand aan bepaalde verwerkingen van persoonsgegevens, de impact op de privacy van betrokkenen in kaart te brengen. Het is een cruciaal instrument dat bedrijven en Zorg & Welzijn organisaties helpt om te begrijpen wat ze doen met persoonsgegevens, wie toegang heeft tot deze gegevens en welke risico’s de verwerking met zich meebrengt.
In eenvoudige bewoordingen kan een DPIA worden omschreven als een onderzoek naar: “Wat gaan we doen in een bepaald project of verwerking van persoonsgegevens, is het toegestaan volgens de AVG, en hoe gaan we de risico’s op een passende manier beheersen?”
Het doel van een DPIA is om bedrijven en Zorg & Welzijn organisaties te helpen bij het identificeren en minimaliseren van privacy risico’s, zodat zij kunnen voldoen aan de vereisten van de AVG en de belangen van betrokkenen kunnen beschermen.
Een DPIA borgt vertrouwelijkheid, integriteit en beschikbaarheid
Door het uitvoeren van een DPIA en het betrekken van de juiste stakeholders, zoals de Functionaris Gegevensbescherming (FG), privacy officer en security officer, kan een bedrijf of Zorg & Welzijn organisatie ervoor zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens worden beschermd. Het DPIA-proces helpt bij het identificeren van potentiële risico’s en het implementeren van passende maatregelen om deze risico’s te beheersen.
Door de Ondernemingsraad (OR) en Cliëntenraad (CR) te betrekken, bevorder je niet alleen de transparantie en inspraak, dat bijdraagt aan het vertrouwen in de genomen privacybeschermingsmaatregelen, maar wordt er ook nog meegekeken naar de risico’s ten aanzien van de voorgenomen verwerking.
Het uitvoeren van een DPIA is een essentiële stap in het waarborgen van de privacy en gegevensbescherming binnen bedrijven en Zorg & Welzijn organisaties. Door de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens in acht te nemen en passende maatregelen te implementeren, kunnen bedrijven en Zorg & Welzijn organisaties de naleving van de AVG garanderen en tegelijkertijd risico’s efficiënt beheersen.
Ons advies
Het uitvoeren van een DPIA voordat je een verwerkersovereenkomst opstelt, zorgt ervoor dat je een gedegen inzicht hebt in de privacy risico’s en de nodige beveiligingsmaatregelen. Dit stelt je in staat om gerichte maatregelen te nemen om deze risico’s te mitigeren en maakt het mogelijk om een verwerkersovereenkomst op te stellen die specifiek is afgestemd op de geïdentificeerde risico’s en vereisten. Hierdoor ben je in staat om te voldoen aan de AVG en de privacy van betrokkenen effectief te beschermen.
Bovendien toon je met het uitvoeren van een DPIA aan dat je proactief handelt om de privacy risico’s te identificeren en aan te pakken. Dit versterkt je positie als bedrijf en Zorg & Welzijn organisatie en helpt bij het aantonen van naleving van de wetgeving.
Lees ook:
Waarom een externe FG in de zorg?
Als bestuurder in de zorg wil je de risico’s op problemen met gegevensbescherming voorkomen. Toch ervaren wij dat het vaak mis gaat.
De Evolutie van Privacy en Reclame: Meta’s Uitdaging met de EDPB
In het huidige digitale landschap staat de wereld van online marketing op een keerpunt door de recente beslissing van de EDPB over gedragsadvertenties in Meta.
Vervult de FG ook een dubbelrol binnen jouw zorgorganisatie?
De Gemeente Amsterdam is recentelijk door de Autoriteit Persoonsgegevens (AP) berispt vanwege zo’n conflicterende dubbelrol van de FG. Lees hoe je dit kunt voorkomen.
Is jouw bedrijf AVG proof?