Wanneer een verwerkingsverantwoordelijke persoonsgegevens uitwisselt met een verwerker is het sluiten van een verwerkersovereenkomst verplicht. Maar hoe zit dat tussen twee organisaties die beide verwerkingsverantwoordelijke zijn en persoonsgegevens met elkaar uitwisselen? Ook in dat geval is het verplicht om afspraken te maken over de gegevensverwerking. Dat kan in de zogenaamde data-uitwisselingsovereenkomst.
Gezamenlijke verwerkingsverantwoordelijken
Wanneer twee organisaties samen het doel en de middelen bepalen van de gegevensverwerking, maakt dit hen gezamenlijke verwerkingsverantwoordelijken. De Algemene verordening gegevensbescherming (AVG) schrijft voor dat die partijen dan afspraken moeten maken over zowel de informatieverplichting richting betrokkenen als de uitoefening van de rechten van betrokkenen. En dat is het. Dit terwijl in een verwerkersovereenkomst veel meer onderwerpen aan bod komen.
Richtlijnen van de European Data Protection Board
De European Data Protection Board (EDPB) heeft recentelijk guidelines uitgebracht over de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. De EDPB heeft in deze guidelines ook het een en ander geadviseerd over gezamenlijke verwerkingsverantwoordelijken en welke afspraken zij moeten maken over de gegevensverwerking. Ondanks dat de AVG geen formele eisen stelt aan hoe de verwerkingsverantwoordelijken dergelijke afspraken moeten maken, beveelt de EDPB nu wel aan om de afspraken vast te leggen in een binding document. Een voorbeeld van zo’n document is de data-uitwisselingsovereenkomst.
Wat regel je in een data-uitwisselingsovereenkomst?
Eigenlijk verschilt een verwerkersovereenkomst niet eens zo heel erg veel van een data-uitwisselingsovereenkomst. In een data-uitwisselingsovereenkomst wil je immers ook vastleggen welke persoonsgegevens worden verwerkt en voor welke doeleinden dit gebeurt. Je neemt hierin op bij wie de persoonsgegevens horen, dus de categorie van betrokkenen. Wat moet er gebeuren ingeval van een datalek? Ook dat wil je geregeld hebben. Hetzelfde geldt voor de inzet van verwerkers, het eventueel uitvoeren van een Data Protection Impact Assessment, en doorgifte van persoonsgegevens. Allerlei onderwerpen die terugkomen in de data-uitwisselingsovereenkomst. Denk verder aan afspraken over welke partij vragen en/of verzoeken van betrokkenen afhandelt, en hoe het eigenlijk gesteld is qua beveiligingsmaatregelen.
Wij adviseren organisaties altijd om duidelijke afspraken te maken over wat er gaat gebeuren met de persoonsgegevens. Of je nou de rol hebt van verwerkingsverantwoordelijke, verwerker of misschien zelfs subverwerker, dat maakt ons niet uit. Zet de afspraken op papier. Privacy Verified kan jou daarbij helpen. Maak een data-uitwisselingsovereenkomst op maat via het Privacy Verified portaal. En bij vragen staan wij natuurlijk voor je klaar.
