De Privacy Baseline/Zelf persoonsgegevens verwerken of uitbesteden: verschil tussen versies
k (migratie naar Sjabloon:Hoofdstuk normenkader) |
k (migratie naar Sjabloon:Hoofdstuk normenkader) |
||
| Regel 1: | Regel 1: | ||
<noinclude>{{Hoofdstuk normenkader|Heeft bron=De Privacy Baseline | <noinclude>{{Hoofdstuk normenkader|Heeft bron=De Privacy Baseline | ||
| | |Versieaanduiding=3.1|Publicatiedatum=17 oktober 2017|ID=PRIV_NT1.1}}</noinclude> | ||
==Zelf persoonsgegevens verwerken of uitbesteden?== | ==Zelf persoonsgegevens verwerken of uitbesteden?== | ||
Nadat we hebben vastgesteld dat we persoonsgegevens moeten verwerken om een bepaald doel te bereiken, moeten we ook vaststellen of we dat doen in de rol van verwerkingsverantwoordelijke of verwerker. Een verwerkingsverantwoordelijke bepaalt zelf het doel van en de middelen voor de betreffende verwerking(en) van persoonsgegevens; een verwerker verwerkt persoonsgegevens in opdracht van of ten behoeve van een verwerkingsverantwoordelijke. Deze rollen kunnen samenvallen; een organisatie kan ook ervoor kiezen (bepaalde) persoonsgegevens niet zelf te verwerken (inclusief de keuze om (bepaalde) persoonsgegevens niet zelf te verzamelen en op te slaan). | Nadat we hebben vastgesteld dat we persoonsgegevens moeten verwerken om een bepaald doel te bereiken, moeten we ook vaststellen of we dat doen in de rol van verwerkingsverantwoordelijke of verwerker. Een verwerkingsverantwoordelijke bepaalt zelf het doel van en de middelen voor de betreffende verwerking(en) van persoonsgegevens; een verwerker verwerkt persoonsgegevens in opdracht van of ten behoeve van een verwerkingsverantwoordelijke. Deze rollen kunnen samenvallen; een organisatie kan ook ervoor kiezen (bepaalde) persoonsgegevens niet zelf te verwerken (inclusief de keuze om (bepaalde) persoonsgegevens niet zelf te verzamelen en op te slaan). | ||
Versie van 27 jun 2018 18:27
| ||||||||||
Zelf persoonsgegevens verwerken of uitbesteden?[bewerken]
Nadat we hebben vastgesteld dat we persoonsgegevens moeten verwerken om een bepaald doel te bereiken, moeten we ook vaststellen of we dat doen in de rol van verwerkingsverantwoordelijke of verwerker. Een verwerkingsverantwoordelijke bepaalt zelf het doel van en de middelen voor de betreffende verwerking(en) van persoonsgegevens; een verwerker verwerkt persoonsgegevens in opdracht van of ten behoeve van een verwerkingsverantwoordelijke. Deze rollen kunnen samenvallen; een organisatie kan ook ervoor kiezen (bepaalde) persoonsgegevens niet zelf te verwerken (inclusief de keuze om (bepaalde) persoonsgegevens niet zelf te verzamelen en op te slaan).
Bij het uitbesteden van een verwerking of bij het verwerken van persoonsgegevens van een andere partij moeten afspraken worden gemaakt tussen de verwerkingsverantwoordelijke en de verwerker[1]. Deze afspraken kunnen worden vastgelegd in een overeenkomst, die we in deze Privacy Baseline de 'verwerkersovereenkomst' zullen noemen. Dit is een gangbare, maar geen officiële term uit de Avg. De afspraken kunnen ook volgen uit een andere rechtshandeling krachtens Unierecht of lidstatelijke recht. Van belang is dat onder meer verantwoordelijkheden worden benoemd, bijvoorbeeld bij wie de regie berust en waar betrokkenen een aanspreekpunt kunnen vinden met betrekking tot de verwerking[2].
Bij gegevensuitwisseling tussen twee verwerkingsverantwoordelijken is het eveneens aan te bevelen een overeenkomst te sluiten waarin de betrokken partijen afspraken over de gegevensdeling vastleggen, bijvoorbeeld dat de deling van de gegevens rechtmatig is en veilig plaatsvindt. Er moet altijd een geldige grondslag zijn voor het verwerken van de persoonsgegevens: uiteraard geldt dit ook voor de verwerking ten behoeve van een ander doel. De ontvangende partij is zelf verantwoordelijk voor de technische en organisatorische maatregelen die voor de beveiliging van de gegevens nodig zijn.
Voetnoten[bewerken]
- ↑ Avg art. 28, lid 3 en verder.
- ↑ In een verwerkersverhouding tussen twee overheidsinstanties ligt het eerder voor de hand om deze afspraken in nadere regelgeving te vast te leggen dan in een overeenkomst. Wanneer twee overheden privaatrechtelijk onder dezelfde rechts-persoon vallen, dan is het contractrechtelijk zelfs niet mogelijk om afspraken middels een overeenkomst vast te leggen.