Wat als ik een externe partij wil inschakelen voor mijn onderwijs, onderzoek of bedrijfsvoering?
Als een externe partij betrokken wordt bij de werkzaamheden binnen een dienst, afdeling of project en je vermoedt dat er persoonsgegevens verwerkt gaan worden, moet worden nagegaan of een verwerkersovereenkomst is vereist.
Een verwerkersovereenkomst is nodig wanneer bij de verwerking van persoonsgegevens Tilburg University als wettelijke verwerkingsverantwoordelijke voor de verwerking een ander bedrijf inschakelt, die als verwerker optreedt. Dit is een wettelijke verplichting die voortvloeit uit de AVG. In een aantal gevallen is deze andere organisatie echter geen verwerker in de zin van de AVG en hoeft geen verwerkersovereenkomst afgesloten te worden. Er kan dan worden volstaan met het opnemen van bepaalde afspraken (bijvoorbeeld over verantwoordelijkheid en beveiliging) in de hoofdovereenkomst, maar in veel gevallen is een verwerkersovereenkomst verplicht. De data representative kan helpen om dit vast te stellen.
Als Tilburg University voor zichzelf persoonsgegevens binnen de organisatie verwerkt, is er geen verwerkersovereenkomst nodig.
Wat is een verwerkingsverantwoordelijke, verwerker en subverwerker?
Een verwerkingsverantwoordelijke
Een verwerkingsverantwoordelijke bepaalt zelf doel en middelen van de verwerking van persoonsgegevens. Tilburg University zal bij de meeste verwerkingen van persoonsgegevens verwerkingsverantwoordelijke zijn.
Een verwerker
Een verwerker verwerkt in opdracht van de verwerkingsverantwoordelijke persoonsgegevens. Indien een externe organisatie zelf het doel/aanvullende doelen van de verwerkingen bepaalt is de externe partij zelf verwerkingsverantwoordelijke.
Een subverwerker
Indien een verwerker zelf weer gebruikt maakt van een dienst van een derde dan is deze derde een subverwerker.
Voorbeeld
Tilburg University laat de salarisadministratie verzorgen door een externe organisatie B. Deze externe organisatie maakt hierbij gebruik van haar eigen software maar deze wordt gehost bij provider C. In deze casus is Tilburg University de verwerkingsverantwoordelijke, organisatie B de verwerker en provider C de subverwerker.
Wanneer is Tilburg University verwerkingsverantwoordelijke?
Tilburg University is verwerkingsverantwoordelijke wanneer zij:
- zeggenschap heeft over de verwerking, en de verwerker de instructies van de universiteit moet opvolgen;
- de doeleinden bepaalt;
- de opdracht aan een derde heeft gegeven tot de verwerking van persoonsgegevens.
De verwerker kan nooit keuzes maken met betrekking tot de soort of hoeveelheid persoonsgegevens die voor Tilburg University worden verwerkt. De verwerker is een (zelfstandige) derde partij die slechts persoonsgegevens verwerkt voor de doeleinden van de verwerkingsverantwoordelijke.
Wat moet je doen bij het afsluiten van een verwerkersovereenkomst?
Er is een procedure voor het afsluiten van een verwerkersovereenkomst waarin de verschillende stappen zijn uitgelegd die je moet doorlopen om tot een goede verwerkersovereenkomst te komen.
Het advies is om altijd de Tilburg University modelovereenkomst te gebruiken. Dit omdat:
- deze gebaseerd is op het model van SURF;
- de overeenkomst getoetst is door onze specialisten;
- we hiermee kunnen waarborgen dat de overeenkomst voldoet aan de verplichtingen uit de AVG.
Zeker als Tilburg University de verwerkingsverantwoordelijke is, kun je hiermee schermen op het moment dat de verwerker een eigen model wil gebruiken.
Het is echter mogelijk (met name bij grote partijen) dat de verwerker zijn eigen verwerkersovereenkomst verplicht stelt of bepaalde clausules in de overeenkomst wil veranderen. Dit brengt echter risico’s met zich mee en dient daarom zorgvuldig beoordeeld te worden. Meer informatie hierover vind je in de aangehaalde procedure.