privacy: het beheer van uw dataleveranciers en -verwerkers;

De Europese regels maken een onderscheid tussen verwerkingsverantwoordelijke en verwerker, dat is nieuw want in de vorige (Belgische) wetgeving was alleen de controller verantwoordelijk. Ontdek hier hun specifieke verplichtingen voor beide partijen

beheer(s) uw dataleveranciers en -verwerkers

De Europese regels maken een onderscheid tussen de verwerkingsverantwoordelijke (controller) en de verwerker (processor) van persoonsgegevens. Beiden moeten aan specifieke verplichtingen voldoen. Dat is nieuw want in de vorige (Belgische) wetgeving was alleen de controller verantwoordelijk.

Schakelt u een derde partij (processor) in, bijvoorbeeld een sociaal secretariaat, om de persoonsgegevens te verwerken, dan is het zaak om vooraf garanties te vragen dat uw ‘onderaannemer’ voldoet aan de nieuwe, Europese regels. En om daarna de taken – en dus de verantwoordelijkheid – goed af te bakenen in een contract. Voer desnoods een data protection impactanalyse of -assessment uit. Goede afspraken maken duidelijk wie aan welke verplichtingen moet voldoen. Omgekeerd checkt ook de processor best of de controller voldoet aan alle regels.

tip: houd als controller regelmatig een steekproef bij de verwerker en evalueer langetermijncontracten minstens om de twee jaar.

Voldoet uw dataverwerker aan de strenge regels? Vraag garanties.

 

uw plichten als verantwoordelijke (controller)

Als controller bent u verplicht om:

  • alle activiteiten voor de verwerking van persoonsgegevens na te kijken en te documenteren;
  • de gepaste technische en organisatorische maatregelen te nemen om de veiligheid van de persoonsgegevens te verzekeren;
  • alle maatregelen te bewijzen met documentatie en samen te werken met de Privacycommissie als dat nodig is;
  • al het nodige te voorzien (processen, projectdocumenten, …) om een inbreuk of data breach snel te detecteren, te identificeren, aangifte te doen bij de Privacycommissie en het lek te dichten.

 

uw plichten als verwerker (processor)

Als processor bent u verplicht om:

  • al uw bestaande overeenkomsten inzake de verwerking van persoonsgegevens na te kijken en de veiligheid en vertrouwelijkheid van de gegevens die u verwerkt, te verzekeren;
  • enkel die gegevens te verwerken zoals door de controller gevraagd;
  • al het nodige te doen (processen, projectdocumenten, …) om een inbreuk of data breach snel te detecteren, te identificeren, aangifte te doen bij de betrokken controller en het lek te dichten;
  • het akkoord te vragen van de controller vooraleer u een sub-verwerker inschakelt.

Zowel de controller (verantwoordelijke) als de processor (verwerker) hebben plichten.

Lees ook de voorgaande artikels  in onze reeks over de strengere Europese privacywet.

1. het doel en toepassing van de strengere privacyregels

2. ik verwerk persoonsgegevens, wat zijn mijn verplichtingen?

3. moet ik een data protection officer aanstellen?