Toelichting Verwerkersovereenkomst
Toelichting Verwerkersovereenkomst
Inleiding
Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als de TU Delft voor de verwerking een derde partij inschakelt.
De verwerkersovereenkomst is de overeenkomst tussen de verwerkingsverantwoordelijke (meestal de TU Delft) en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens dient om te gaan.
De verwerkersovereenkomst is een uitgebreid, maar algemeen document dat aan de werkelijke situatie moet worden aangepast. Het is van belang om dit zo uitgebreid te doen, omdat op deze manier de risico’s beter worden afgedekt en er mogelijkheden zijn ingebouwd om de verwerker ook daadwerkelijk aan de overeenkomst te houden (zie bijvoorbeeld de bepalingen met betrekking tot boete en aansprakelijkheid). Deze toelichting is openbaar, maar maakt geen onderdeel uit van de verwerkersovereenkomst.
Wanneer gebruiken?
De verwerkersovereenkomst is geschikt voor de situatie waarin namens het College van Bestuur van de TU Delft een derde wordt ingeschakeld voor het leveren van bepaalde diensten aan de TU Delft waarbij persoonsgegevens worden verwerkt, waarvoor het College van Bestuur van de TU Delft (hierna samen aan te duiden als: de ‘TU Delft’) verwerkingsverantwoordelijke is.
Raadpleeg het TU Privacy Team (xxxxxxx-xx@xxxxxxx.xx) of het intranet voor de laatste versie van het Model Verwerkersovereenkomst.
Wanneer is de TU Delft verwerkingsverantwoordelijke (in het Engels: controller)
De TU Delft is verwerkingsverantwoordelijke wanneer zij op eigen initiatief en op grond van de Algemene Verordening Gegevensbescherming (AVG) bepaalt welke persoonsgegevens worden verzameld, voor welk doel, met welke middelen en de manier waarop dit gebeurt. Voor verwerkingen van de TU Delft is de TU Delft veelal zelf verwerkingsverantwoordelijke.
Wanneer is de derde partij verwerker (in het Engels: processor)
De derde partij is verwerker – in de zin van de AVG – als de verwerking van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke de primaire opdracht van de verwerker is en de derde partij geen zeggenschap heeft over de persoonsgegevens die zij van de TU Delft ontvangt. . Een afdeling of medewerker van de TU Delft wordt niet beschouwd als een verwerker van de TU Delft. We spreken pas van een verwerker, wanneer de verwerking wordt uitgevoerd door een extern bedrijf of persoon die niet in dienst is bij de TU Delft. De derde partij mag alleen de persoonsgegevens gebruiken voor het doel dat de TU Delft opgeeft en met de middelen die de TU Delft voorschrijft.
Als de derde partij toch zelfstandig beslissingen kan en mag nemen over de persoonsgegevens die zij van de TU Delft ontvangt, dan is de derde partij zelfstandig verantwoordelijke of zelfs - samen met de TU Delft - gezamenlijk verantwoordelijke (zie hierna).
Wanneer is de TU Delft verwerker?
In een aantal gevallen treedt de TU Delft op als verwerker. De verwerker is, in tegenstelling tot de verwerkingsverantwoordelijke, niet degene die doel en middelen zelfstandig vaststelt en heeft daar geen zeggenschap over.
In dat geval is ook een verwerkersovereenkomst nodig, maar is onderstaande checklist niet passend.
Wat moet ik doen als de verwerker is gevestigd in een land buiten de Europese Economische Ruimte (EER)?
De EER zijn de landen van de Europese Unie en IJsland, Noorwegen, Zwitserland en Liechtenstein. Als de verwerker (met wie de TU Delft een verwerkersovereenkomst sluit) is gevestigd buiten de EER, dan is meestal een extra overeenkomst nodig. Dit zijn de Standard Contractual Clauses (SCC) die door de Europese Commissie zijn opgesteld. Dit document is opgenomen in bijlage D.
De SCC moeten dus ook van toepassing worden verklaard in verwerkersovereenkomsten met verwerkers die zijn gevestigd in de VS. Zo nodig dienen er additionele waarborgen getroffen te worden.
Let op: Dit geldt ook voor elke verwerker waarvan het moederbedrijf buiten de EER is gevestigd. Dit betekent dus dat de SCC moeten worden ondertekend.
De SCC bepalingen mogen niet worden gewijzigd. Wel vullen de TU Delft en de verwerker de gele stukken in en ondertekenen de TU Delft en de verwerker de SCC apart.
Let op: In het geval het een verwerker uit een land betreft waarmee een adequaatheidsbesluit is gesloten, zijn de SCC niet nodig. Overleg met het Privacy Team voor welke landen dit van toepassing is of zie link.
Het invullen van de Standard Contractual Clauses – Bijlage D
Dit document bestaat uit vier verschillende modules:
Module 1: Gegevensoverdracht tussen twee verwerkingsverantwoordelijken.
Module 2: Gegevensoverdracht tussen een verwerkingsverantwoordelijke en een verwerker.
Module 3: Gegevensoverdracht tussen twee verwerkers.
Module 4: Gegevensoverdracht een verwerker en een verwerkingsverantwoordelijke.
Elke module benoemt de verschillende soorten voorwaarden voor gegevensoverdracht tussen de verwerkingsverantwoordelijke en de verwerker.
Kies welke module geschikt is voor je verwerking. Houd er rekening mee dat de meest gekozen module ‘Module 2’ is: Gegevensoverdracht tussen een verwerkingsverantwoordelijke en verwerker.
Afhankelijk van je gekozen module, vul je de bijlagen verder in. De invulvelden zijn gearceerd.
Wat nog meer?
De verwerkersovereenkomst (en eventueel de SCC) wordt gesloten naast de hoofdovereenkomst, waarin de afspraken over de opdracht staan beschreven. Bij het inschakelen van een derde bij de verwerking van persoonsgegevens zijn dus ten minste twee overeenkomsten nodig: een hoofdovereenkomst en een verwerkersovereenkomst (al dan niet aangevuld met de SCC). Met behulp van de verwerkersovereenkomst wordt enkel voldaan aan de vereisten uit de AVG.
Leg ter controle altijd de verwerkersovereenkomst, samen met de (bestaande) hoofdovereenkomst voor aan het Privacy team (xxxxxxx-xxx@xxxxxxx.xx).
Het invullen van de bijlagen
Het invullen van de bijlagen is een belangrijke stap om de specifieke voorwaarden voor de verwerking van persoonsgegevens vast te stellen en te beschrijven. De bijlagen bepalen de overeengekomen specificaties zoals de gegevens die worden verwerkt, het doel van de verwerking en de beveiligingsmaatregelen.
Ook als verwerkingsverantwoordelijke oefent de TU Delft controle uit op de wijze waarop de persoonsgegevens door de verwerker worden verwerkt. In de bijlagen geeft de TU Delft specifieke instructies over zaken zoals dataretentie (de duur van opslag), aanvullende beveiligingsmaatregelen, verwijder- en vernietigingsinstructies.
Het is de bedoeling dat verwerker en verwerkingsverantwoordelijke de bijlagen samen invullen ten tijde van het sluiten van de verwerkersovereenkomst.
Gezamenlijke verwerkingsverantwoordelijken
Wanneer er sprake is van gezamenlijke verwerkingsverantwoordelijken, is deze verwerkersovereenkomst niet nodig. Een meer algemenere samenwerkingsovereenkomst (of gezamenlijke verwerkingsverantwoordelijken overeenkomst) is dan geschikt. Partijen bepalen in dat geval gezamenlijk hoe en waarom persoonsgegevens worden verwerkt. In voornoemde overeenkomst wordt vastgesteld wie welke verantwoordelijkheden op zich neemt ten aanzien van verplichtingen uit de AVG. Het gaat dan met name om het afhandelen van verzoeken om inzage, correctie of verwijdering van gegevens en het voldoen aan informatieplichten ten opzichte van betrokkenen.
(Zelfstandig of gezamenlijke) verwerkingsverantwoordelijke is gevestigd buiten de EER
Als de (zelfstandige of gezamenlijke) verwerkingsverantwoordelijke is gevestigd buiten de EER – dus buiten de EU, IJsland, Noorwegen of Zwitserland, dan zijn ook hier SCC noodzakelijk. Deze SCC maken als bijlage deel uit van de hiervoor genoemde overeenkomsten en zij moeten ongewijzigd worden overgenomen en apart ondertekend door de TU Delft en de (zelfstandig of gezamenlijke) verwerkingsverantwoordelijke.
Vraag via xxxxxxx-xxx@xxxxxxx.xx advies over welke modelbepaling of -overeenkomst het meest passend is ingeval van bovengenoemde situaties.