Leestijd: 9 minuten
Bij G-P worden bedrijven geholpen door ons toonaangevende Global Employment Platform™ (Wereldwijd werkgelegenheidsplatform) om snel, dat wil zeggen binnen dagen in plaats van maanden, hoogopgeleide wereldwijde teams op te bouwen, zodat zij hun volledige potentieel kunnen ontsluiten. Maar hoe werkt het hele personeelsbestand het beste samen? Hier bespreken we de kansen – en uitdagingen – bij het verwezenlijken van het type wereldwijde groei en succes dat we allemaal kunnen delen.
G-P. Global Made Possible.
Om consumentengegevens veilig te houden, heeft de Europese Unie (EU) een strenge privacy- en beveiligingswet ingevoerd die bekend staat als deAlgemene Verordening Gegevensbescherming (AVG). De AVG definieert en handhaaft de rechten van EU-burgers met betrekking tot hun persoonlijke gegevens. Het implementeert normen voor verantwoording, beveiliging en transparantie bij het gebruik van die gegevens.
Wereldwijde bedrijven die actief zijn in de Europese Unie of persoonlijke gegevens uit de EU verwerken, moeten begrijpen:welke gevolgen de AVG voor hen heeften hoe u de naleving van de AVG kunt handhaven.
Een aspect van die naleving is het uitvoeren van een verwerkersovereenkomst (DPA). Een AVG-gegevensverwerkingsovereenkomst specificeert de details, regels, rechten en verplichtingen die verband houden met gegevensverwerkingsactiviteiten. Het helpt de naleving van het bedrijf te waarborgen, gegevens te beveiligen en consumenten beschermd en tevreden te houden.
In deze gids wordt nader ingegaan op hoe DPA's werken en wat u in een DPA moet opnemen.
Wat is een DPA onder de AVG?
Een gegevensverwerkingsovereenkomst is een contract dat is ondertekend tussen gegevensbeheerders en de gegevensverwerkers die hun gegevens zullen verwerken. Het is vereist voor volledige naleving van de AVG.
Een DPA beschrijft de aard, het doel en de duur van de verwerkingsactiviteiten die zullen plaatsvinden. Het specificeert ook het type persoonsgegevens dat moet worden verwerkt en de categorieën van personen waartoe de gegevens behoren. Het definieert de rechten en plichten die de verwerkingsverantwoordelijke heeft. Het kan het gebruik van technische beveiligingsmaatregelen specificeren, zoals een bepaald niveau van encryptie, dat aanwezig moet zijn.
Een gegevensbeschermingsautoriteit is wettelijk bindend en de gegevensbeheerder en de verwerker moeten zich eraan houden, anders riskeren ze zware straffen.
Het belangrijkste voordeel van een DPA is dat het de kwalificaties en betrouwbaarheid van de gegevensverwerker waarborgt. Bedrijven moeten weten dat hun gegevens in goede handen zijn en dat ze privé zijn en beveiligd tegen nieuwsgierige blikken. Een DPA helpt bij het bieden van die garanties.
De AVG en de bijbehorende DPA-vereisten zullen in de toekomst waarschijnlijk aanzienlijke gevolgen hebben voor de bedrijfsvoering. Zakelijke transacties kunnen veranderen naarmate het verzamelen van persoonlijke gegevens beperkter wordt, communicatie over het verzamelen en opslaan van gegevens essentieel wordt en relaties met externe leveranciers strengere contracten vereisen. Individuele bedrijven en hun HR-afdelingen zullen grote gevolgen ondervinden als ze hun processen aanpassen om te voldoen aan de AVG-vereisten.
Het voordeel van de AVG-vereisten is dat vertrouwen in het bedrijfsleven kan floreren naarmate mensen meer vertrouwen krijgen in de privacy en bescherming van hun gegevens.
Wanneer is een verwerkersovereenkomst nodig?
Heeft u een verwerkersovereenkomst nodig? Dat mag als u in of vanuit de EU met persoonsgegevens omgaat.
Onder de AVG is een DPA-document verplicht wanneer een persoon of organisatie persoonlijke gegevens aan een externe dienstverlener verstrekt voor een samenwerkingsdienst. Alle partijen die optreden als gegevensverwerkers moeten DPA's ondertekenen met de gegevensbeheerders.
In de EU moet een dienst die een website host bijvoorbeeld een DPA ondertekenen met het bedrijf waar de website toe behoort. Een bedrijf dat persoonsgegevens verwerkt om gerichte consumentenmarketing te bieden, moet ook een DPA ondertekenen.
Hieronder vindt u enkele andere veelvoorkomende zakelijke services en scenario's waarvoor DPA's vereist zijn:
- Uitbesteding van e-mailbeheer
- Technische gegevensverwerkingsoplossingen voor financiële en loonadministratie
- Gegevensback-upservices, hetzij via fysieke servers of in de cloud
- Gegevensverzameling of digitalisering via een externe dienstverlener
- Verwijdering van oude hardware die gevoelige gegevens bevat
In sommige gevallen kan de AVG DPA's vereisen voor bedrijven buiten Europa. Deze vereiste geldt wanneer het om EU-gegevens gaat. Een in Canada gevestigd bedrijf kan bijvoorbeeld onderworpen zijn aan de DPA-vereiste als het gegevens over EU-burgers verwerkt.
Wanneer is een DPA niet nodig?
Verschillende specifieke scenario's vereisen geen DPA's. Ze hebben ingebouwde beveiligingen die DPA-beveiliging overbodig maken. Houd rekening met het volgende, zodat u de verplichtingen van uw bedrijf in deze omstandigheden beter kunt begrijpen:
- Partnerschappen met beroepsgroepen die vertrouwelijkheidsvereisten hebben: In veel beroepen is het de beste werkwijze voor serviceproviders om branchespecifieke, op maat gemaakte vertrouwelijkheidsovereenkomsten te hebben die alle beveiligingsmaatregelen en privacyvereisten dekken die een gegevensbeschermingsautoriteit zou vereisen. Enkele beroepen die deze vertrouwelijkheidsovereenkomsten over het algemeen gebruiken, zijn onder meer de wet, belastingadvies en financiële controle. Veel zorgdiensten hebben doorgaans ook hun eigen strikte vertrouwelijkheidsgaranties.
- Portaaldiensten: Services die alleen mensen of entiteiten met elkaar verbinden, zijn doorgaans vrijgesteld van DPA-vereisten. Deze professionele matchmakingdiensten zijn zo van voorbijgaande aard dat een gegevensbeschermingsautoriteit er weinig baat bij heeft. Recruiters vallen bijvoorbeeld in deze categorie. Ze verbinden alleen mensen die op zoek zijn naar werk met bedrijven die op zoek zijn naar getalenteerde nieuwe teamleden. Dit scenario maakt een DPA met de recruiter overbodig.
- Werk samen met incassobureaus: Incassobureaus krijgen toegang tot persoonlijke financiële informatie en medische informatie. Omdat incassobureaus gescheiden zijn van de oorspronkelijke schuldeisers en de vordering incasseren voor eigen gewin, zijn zij vrijgesteld van DPA-verplichtingen. Als ze namens de oorspronkelijke schuldeisers zouden werken, zouden de incassobureaus DPA's moeten ondertekenen.
- Gezamenlijk databeheer van meerdere bedrijven: In sommige gevallen werken bedrijven als groep samen om een verzameling gegevens te beheren. Dit scenario komt vaak voor wanneer bedrijven gezamenlijke toegang hebben tot gegevens van leveranciers, producten of verkoopleads. Hoewel de bedrijven concurrenten kunnen zijn, gebruiken ze dezelfde gegevens voor dezelfde algemene doeleinden. De omvang van dit datagebruik betekent over het algemeen dat een DPA niet verplicht is.
- Klinische proeven:Grootschalige klinische farmaceutische onderzoeken maken meestal geen gebruik van DPA's vanwege de vele bijdragen die ze met zich meebrengen. Artsen, onderzoekscentra en sponsors hebben allemaal toegang tot de gegevens van het onderwerp en ze verwerken deze allemaal op een andere manier, afhankelijk van hun behoeften. De verzamelde gegevens dienen over het algemeen ook voor verschillende doeleinden tijdens de klinische proef. Onder deze omstandigheden zijn DPA's over het algemeen niet van toepassing.
Wie is de gegevensbeheerder?
Elke DPA-overeenkomst vindt plaats tussen een gegevensbeheerder en een gegevensverwerker. De gegevensbeheerder is de organisatie of persoon die bepaalt hoe en waarom persoonsgegevens worden verwerkt. Als uw bedrijf besluit om gegevens naar een derde partij te sturen voor back-up op zijn servers, is uw bedrijf de gegevensbeheerder.
Het bepalende kenmerk van een verwerkingsverantwoordelijke is beslissingsbevoegdheid. De verwerkingsverantwoordelijke neemt overkoepelende beslissingen over de redenen voor het verzamelen van gegevens en de manieren waarop de verwerking van persoonsgegevens zou moeten plaatsvinden.
In de meeste scenario's is een bedrijf of organisatie de gegevensbeheerder. De gegevensverwerker is een afzonderlijke entiteit die een contract heeft met het bedrijf. Een persoon zoals een eenmanszaak of zelfstandige kan ook een gegevensbeheerder zijn als die persoon beslissingen neemt over het verzamelen en verwerken van persoonsgegevens.
Wie is de gegevensverwerker?
De gegevensverwerker is de derde partij die de gegevens verwerkt voor een gegevensbeheerder. Als uw bedrijf in het bovenstaande scenario besluit uw gegevens voor back-up te verzenden, is het bedrijf dat de back-upservices levert de gegevensverwerker.
De gegevensverwerker kan vele vormen aannemen. Het kan een bedrijf, een persoon of een overheidsinstantie zijn. Het relevante criterium is of die persoon of entiteit gegevens verwerkt namens een gegevensbeheerder.
Wat houdt een DPA-document in?
Lidwoord 28-36 van de AVG specificeren welke contractuele verplichtingen verplicht zijn voor de gegevensverwerker onder de AVG-regels van de AVG. Hieronder staan enkele van de vereiste DPA-clausules:
1. Een grondige uitsplitsing van de details van gegevensverwerking
De gegevensbeschermingsautoriteit moet uitgebreide details geven over hoe elk aspect van de gegevensverwerking zal plaatsvinden. De gegevensbeschermingsautoriteit moet duidelijke informatie bevatten over onderwerpen als:
- Het soort persoonsgegevens dat moet worden verwerkt
- Het onderwerp van de gegevens
- De categorieën van de betrokkenen
- Het doel en de aard van de verwerking
- De verwachte duur van de gegevensverwerking
- De wettelijke basis voor de verwerking van persoonsgegevens
- De teruggave of verwijdering van persoonsgegevens aan het einde van de verwerking
2. De rechten en verantwoordelijkheden van de gegevensbeheerder en de verwerker
Door de rechten en verantwoordelijkheden voor beide partijen vast te leggen, zorgt de AP voor duidelijkheid over wie de gegevensverwerking controleert.
De AP dient expliciet te vermelden dat de gegevensverwerker de verwerkingen moet uitvoeren volgens de wensen en specificaties van de gegevensverantwoordelijke. Het moet specificeren dat de verwerkingsverantwoordelijke, niet de verwerker, volledige controle behoudt over de gegevens en wat ermee gebeurt.
De gegevensverwerker moet de gegevensverwerker opdragen de gegevens alleen te verwerken volgens de directe instructies van de gegevensbeheerder, en alleen van die instructies af te wijken wanneer de EU-wetgeving of de wetgeving van een van de lidstaten dit vereist.
3. Vereiste vertrouwelijkheidsmaatregelen voor de gegevensverwerker
De DPA moet de protocollen specificeren die de gegevensverwerker moet volgen om de vertrouwelijkheid van de persoonsgegevens te waarborgen.
De gegevensverwerker moet bijvoorbeeld vaste werknemers, tijdelijke werknemers en onderaannemers verplichten om vertrouwelijkheidsovereenkomsten te ondertekenen voordat ze kunnen beginnen met het verwerken van persoonsgegevens. De enige keer dat een geheimhoudingsverklaring overbodig wordt, is wanneer een wettelijke verplichting de verwerker al verplicht tot geheimhouding.
4. Vereiste technische en organisatorische protocollen voor informatiebeveiliging
De gegevensbeschermingsautoriteit moet de beveiligingsmaatregelen beschrijven die de gegevensverwerker moet implementeren, inclusief maatregelen zoals deze, indien van toepassing:
- Data encryptie
- Betrokkene pseudonimisering
- Protocollen voor het waarborgen van gegevensvertrouwelijkheid, beschikbaarheid, veerkracht en beveiliging van alle gegevensverwerkingssystemen
- Processen voor het herstellen van toegang tot persoonsgegevens na een aanval of inbreuk
- Een regelmatig programma voor het testen en evalueren van de effectiviteit van alle beveiligingsmaatregelen
Veel verwerkers willen misschien formele certificeringen behalen of officiële gedragscodes opstellen die hun geïmplementeerde protocollen bevestigen. Dergelijke maatregelen helpen ervoor te zorgen dat hun gegevensverwerking volledig in overeenstemming is met de AVG.
5. Voorwaarden voor eventuele onderaannemerscontracten
De AP moet ook de eisen schetsen die de gegevensverwerker moet stellen aan zijn onderaannemers. De verwerker moet zich bijvoorbeeld aan deze regels en best practices houden:
- Alleen onderaannemers in dienst nemen met de uitdrukkelijke toestemming en autorisatie van de gegevensbeheerder
- Contracten opstellen en ondertekenen die dezelfde gegevensbeveiligingsvereisten opleggen aan de onderaannemer die de gegevensverwerker zelf moet volgen
- Ervoor zorgen dat de onderaannemer voldoet aan de vereisten voor gegevensbescherming
- De verwerkingsverantwoordelijke informeren over eventuele wijzigingen waarbij onderaannemers betrokken zijn en de verwerkingsverantwoordelijke de tijd geven om te reageren
6. Samenwerkingsverplichtingen voor de gegevensverwerker
De AP dient te specificeren wanneer en hoe de gegevensverwerker moet samenwerken met de gegevensbeheerder. De gegevensverwerker moet bijvoorbeeld meewerken om verzoeken om toegang tot gegevens te helpen oplossen. De verwerker moet ook meewerken aan de bescherming van de privacy en rechten van de betrokkenen, met name door te voldoen aan deze vereisten:
- Beveiliging van persoonlijke gegevens waarborgen
- Instanties en betrokkenen direct op de hoogte stellen van inbreuken op persoonsgegevens
- Uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) indien nodig
- Het raadplegen van de relevante autoriteiten wanneer zich ernstige datarisico's voordoen
De gegevensverwerker moet de gegevensbeheerder ook toestaan nalevingsaudits uit te voeren tijdens de verwerking. Tijdens audits moet de verwerker de verwerkingsverantwoordelijke onmiddellijk alle relevante informatie verstrekken om aan te tonen dat hij aan zijn nalevingsverplichtingen op grond van artikel heeft voldaan 28 van de AVG.
Best practices zijn ook voor de verwerker om een register bij te houden van zijn verwerkingsactiviteiten om naleving van de AVG aan te tonen.
Wat gebeurt er na een datalek op grond van een DPA?
Als er zich een datalek voordoet, moeten de betrokken bedrijven direct gericht actie ondernemen. Uw onderneming moet de relevante toezichthoudende autoriteit binnen 72 uur als de inbreuk ernstige risico's met zich meebrengt.
Als de inbreuk een zeer hoog risico vormt voor de getroffen personen, moet uw bedrijf deze personen meestal ook op de hoogte stellen. Als uw bedrijf echter al over effectieve technische en organisatorische risicobeperkingsprotocollen beschikt, is een melding wellicht niet nodig.
Stel je bijvoorbeeld voor dat een creditcardmaatschappij een datalek heeft opgelopen vanwege een aanval op de servers waarop het zijn gegevens heeft opgeslagen. De persoonlijke financiële informatie van haar klanten is gecompromitteerd. Hun namen, thuisadressen, aanvullende contactgegevens, financiële details en de details van de soorten betalingen die ze op hun creditcards hebben gedaan, zijn allemaal openbaar geworden.
Het bedrijf dat de servers host, moet de autoriteiten op de hoogte stellen van de inbreuk binnen 72 uur. Het zou ook de creditcardmaatschappij op de hoogte moeten stellen.
Het bedrijf zou de consumenten waarschijnlijk moeten informeren, aangezien de openbaarmaking van hun persoonlijk identificeerbare informatie hen in gevaar zou kunnen brengen. De inbreuk zou ook kunnen leiden tot openbaarmaking van gevoelige, beschermde gezondheidsinformatie van consumenten als ze medische betalingen met hun creditcards hadden gedaan.
Wat zijn de sancties bij niet-naleving van de AVG?
Als zich een datalek voordoet, zal het bedrijf dat niet-conform wordt bevonden, worden onderworpen aan disciplinaire maatregelen. Een waarschijnlijke overtreding krijgt slechts een waarschuwing. Incidenten met bevestigde niet-naleving kunnen onderhevig zijn aan een of meer van deze sancties:
- Een formele berisping
- Een tijdelijk of permanent verbod op gegevensverwerking
- EENboete tot EUR€20 miljoen of 4 procent van de totale jaarlijkse wereldwijde omzet van het bedrijf
Huur professionals op het gebied van gegevensbeveiliging in voor uw team met Globalization Partners
Wanneer u internationale teams samenstelt die zich richten op gegevensbeveiliging, werk dan samen met Globalization Partners . Onze teams van professionals kunnen u helpen inzicht te krijgen in de regels van de verwerkersovereenkomst die op uw bedrijf van toepassing zijn.
Het hebben van gegevensbeschermingsfunctionarissen en andere juridische professionals in uw team is essentieel om te blijven voldoen aan DPA. Als wereldwijde Employer of Record (EOR) helpt Globalization Partners u het internationale talent aan te nemen en te betalen dat u nodig heeft voor succes. We nemen gegevensprivacy zeer serieus en we kunnen u helpen te voldoen aan de lokale arbeidswetten en uw vertrouwelijke informatie te beveiligen terwijl u uw bedrijf internationaal opschaalt.
Bij Globalization Partners helpen we u uw wervingsprocessen te versnellen. Met behulp van onzefull-stack wereldwijd werkgelegenheidsplatform, kunt u met slechts een paar klikken uw nieuwe teamleden aannemen en in dienst nemen, waardoor u tijd bespaart en uw aanpak van de uitdagingen van internationale bedrijfsgroei stroomlijnt.
Vraag een voorstel aanvandaag, ofNeem contact met ons opom meer te weten te komen over het inhuren van professionals op het gebied van gegevensbeveiliging via ons platform.
