AVG Verwerkersovereenkomst bij Software-inrichting: Verplichtingen, Risico’s en Uitvoering

Inleiding

De Algemene Verordening Gegevensbescherming (AVG) stelt strikte eisen voor de verwerking van persoonsgegevens, met name wanneer externe partijen betrokken zijn bij dit proces. Een verwerkersovereenkomst is een essentieel instrument om aan deze eisen te voldoen. In het kader van softwareinrichting, waarbij externe verwerkers vaak betrokken zijn bij het hosten, beheren of verwerken van persoonsgegevens, is het afsluiten van een juridisch bindende verwerkersovereenkomst verplicht onder de AVG.

Deze verwerkersovereenkomst dient als een juridisch kader waarin de verplichtingen van zowel de verwerkingsverantwoordelijke als de verwerker worden gedefinieerd. Deze tekst belicht de rol van de verwerkersovereenkomst bij de inrichting van software, de verplichtingen van betrokken partijen, mogelijke risico’s zoals de verwerking buiten de Europese Economische Ruimte (EER), en het belang van technische voorzieningen. Hierbij wordt aandacht besteed aan de inhoud van standaardovereenkomsten, de rol van de gemeente of andere verwerkingsverantwoordelijken, en de praktijk bij externe hosting en SaaS-oplossingen.

De AVG en het verwerkersverantwoordelijke

De AVG bepaalt dat de verwerkingsverantwoordelijke verantwoordelijk is voor het vaststellen van het doel en de middelen voor de verwerking van persoonsgegevens. Deze entiteit, die vaak de gemeente of een andere overheidsinstantie is, moet passende waarborgen opstellen en deze kunnen aantonen. Deze waarborgen omvatten het naleven van de zes basisbeginselen van de AVG: legitimiteit van de verwerking, doeleinden, minimale verwerking, accuraatheid, opslagduur en veiligheid.

De verwerkingsverantwoordelijke heeft niet alleen de verantwoordelijkheid om de verwerking te rechtvaardigen, maar ook om ervoor te zorgen dat alle betrokken partijen, zoals externe verwerkers, aan de AVG voldoen. Dit geldt ook voor externe partijen die betrokken zijn bij de softwareinrichting. De verwerkingsverantwoordelijke is verplicht om in een vroeg stadium te beslissen welke verwerkingen worden uitgevoerd en welke externe partijen daarbij betrokken worden.

De rol van de verwerker bij software-inrichting

De verwerker is de partij die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. Dit betreft bijvoorbeeld externe providers die software-inrichting uitvoeren, zoals het hosten van websites of het beheren van databases. De AVG stelt dat deze verwerker verplicht is om de verwerking volgens de AVG uit te voeren en de verwerkingsverantwoordelijke op de hoogte te stellen van eventuele problemen of maatregelen.

Bij softwareinrichting speelt de verwerker een cruciale rol in de technische uitvoering van de verwerking. Hij kan bijvoorbeeld verantwoordelijk zijn voor het beheren van servers, het beveiligen van data, of het uitvoeren van upgrades. De verwerkingsverantwoordelijke moet zorgvuldig kiezen welke verwerker wordt ingeschakeld en ervoor zorgen dat deze partij over voldoende technische en juridische expertise beschikt om aan de eisen van de AVG te voldoen.

De verwerkersovereenkomst moet duidelijk aangeven wat de verplichtingen van de verwerker zijn. Dit omvat onder andere de verplichting om technische maatregelen te nemen voor de beveiliging van de data, om geen eigen doeleinden te vervullen bij de verwerking, en om de verwerkingsverantwoordelijke op de hoogte te houden van eventuele aansprakelijkheden.

Verplichtingen van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke heeft een aantal kernverplichtingen bij het inrichten van software en het afsluiten van een verwerkersovereenkomst:

  1. Vaststellen van doel en middelen: De verwerkingsverantwoordelijke bepaalt welke persoonsgegevens worden verwerkt, waarom en met welke middelen. Deze doelen moeten welbepaald, gerechtvaardigd en niet onrechtmatig zijn. De verwerkingsverantwoordelijke moet ook zorgen dat de verwerking niet in strijd is met rechten van derden.

  2. Afsluiten van een verwerkersovereenkomst: Deze overeenkomst is verplicht bij alle verwerkingen die door een externe partij worden uitgevoerd. De overeenkomst moet duidelijk aangeven wat de verplichtingen van de verwerker zijn en hoe deze aan de AVG voldoen.

  3. Melding en registerplicht: Als de verwerking niet onder een vrijstelling valt, moet de verwerkingsverantwoordelijke een melding afgeven bij de Autoriteit Persoonsgegevens. Bovendien moet hij een register bijhouden van alle onder de verwerkersovereenkomst geregelde verwerkingen. Deze verplichting treedt in op 25 mei 2018, de datum waarop de AVG volledig van toepassing wordt.

  4. Technische voorzieningen: De verwerkingsverantwoordelijke moet ervoor zorgen dat de verwerking volgens technische standaarden plaatsvindt. Dit betreft het gebruik van recente hard- en software, beveiligingsmaatregelen en het voortdurend beoordelen van de risico’s die gepaard gaan met de verwerking.

  5. Aansprakelijkheid: De verwerkingsverantwoordelijke vrijwaart de verwerker tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van de meldings- of registerplicht. Dit betekent dat de verwerkingsverantwoordelijke aansprakelijk is voor eventuele juridische gevolgen van niet-naleving van de AVG.

De inhoud van een verwerkersovereenkomst bij softwareinrichting

Een verwerkersovereenkomst bij softwareinrichting moet verschillende kernaspecten omvatten. Deze aspecten zijn meestal opgenomen in standaardverwerkersovereenkomsten die door verwerkingsverantwoordelijken, zoals gemeenten, worden gebruikt. De belangrijkste onderdelen zijn:

  • Definities: De overeenkomst moet duidelijke definities bevatten voor termen zoals "verwerkingsverantwoordelijke", "verwerker", "persoonsgegevens" en "verwerking". Deze definities moeten overeenkomen met de definities in de AVG en de Uitvoeringswet AVG.

  • Inhoud en doeleinden van de verwerking: De overeenkomst moet aangeven welke persoonsgegevens worden verwerkt, welk doel de verwerking heeft, en welke middelen gebruikt worden. Deze informatie moet zorgvuldig worden ingevuld, omdat de verwerkingsverantwoordelijke verantwoordelijk is voor de rechtmatigheid van de verwerking.

  • Verplichtingen van de verwerker: De overeenkomst moet de verplichtingen van de verwerker duidelijk aangeven. Dit omvat onder andere de verplichting om technische maatregelen te nemen, om geen eigen doeleinden te vervullen, en om de verwerkingsverantwoordelijke op de hoogte te houden van eventuele problemen.

  • Ingangsdatum en duur: De overeenkomst moet aangeven wanneer deze in werking treedt en hoe lang deze geldt. Dit is meestal gelinkt aan de duur van de hoofdovereenkomst of het contract waaronder de verwerking plaatsvindt.

  • Beheerovereenkomsten: Indien de verwerker verantwoordelijk is voor het beheer van technische infrastructuren, kan er een aparte beheerovereenkomst worden afgesloten. In deze overeenkomst worden de specifieke verplichtingen van de verwerker bij het beveiligen van de technische voorzieningen geregeld.

  • Aansprakelijkheid en vrijwaaringsregels: De overeenkomst moet ook aangeven welke partij verantwoordelijk is voor eventuele aansprakelijkheden die voortvloeien uit niet-naleving van de AVG. De verwerkingsverantwoordelijke moet de verwerker vrijwaren tegen aanspraken die verband houden met de meldings- of registerplicht.

Risico’s bij softwareinrichting: Externe servers en SaaS-oplossingen

Een belangrijk risico bij softwareinrichting is dat de verwerking van persoonsgegevens op externe servers of in de vorm van SaaS (Software as a Service) op een locatie buiten de Europese Economische Ruimte (EER) plaatsvindt. De AVG bepaalt dat persoonsgegevens zonder meer niet naar buiten de EER mogen worden gebracht. Dit betekent dat de verwerkingsverantwoordelijke moet zorgen dat de verwerking alleen op locaties binnen de EER plaatsvindt, tenzij er aan aanvullende voorwaarden is voldaan.

Een toetsingskader wordt ontwikkeld om te bepalen of externe verwerkingen op een zorgvuldige manier worden uitgevoerd. Dit kader moet ervoor zorgen dat er passende waarborgen zijn voor het beschermingsniveau buiten de EER. De verwerkingsverantwoordelijke is verantwoordelijk voor het controleren van dit beschermingsniveau en het opstellen van passende maatregelen.

In de praktijk betekent dit dat de verwerkingsverantwoordelijke vooraf moet onderzoeken waar de servers of datacenters van de verwerker gevestigd zijn. Als deze gevestigd zijn buiten de EER, moet er een alternatief worden gezocht of passende maatregelen worden genomen om het risico te beperken.

Technische verplichtingen voor de verwerker

De verwerker is verplicht om technische maatregelen te nemen voor de beveiliging van de verwerking. Deze maatregelen moeten afgestemd zijn op het risico dat verbonden is aan de verwerking. De verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het beschermingsniveau en de vereisten voor de technische voorzieningen.

De verwerker is alleen verantwoordelijk voor de beveiliging van de technische infrastructuren als er een aparte beheerovereenkomst is afgesloten. In dat geval zijn de verplichtingen van de verwerker beperkt tot de maatregelen die in deze overeenkomst zijn beschreven. De verwerkingsverantwoordelijke is verantwoordelijk voor het nemen van passende technische maatregelen, tenzij er een beheerovereenkomst is afgesloten.

Het gebruik van recente hard- en software is essentieel bij de verwerking van persoonsgegevens. Als de verwerkingsverantwoordelijke gebruik maakt van software of hardware die niet (meer) wordt ondersteund door de producent, is het aan de verwerkingsverantwoordelijke om passende technische maatregelen te nemen. De verwerker is dan niet meer verantwoordelijk voor het beveiligen van de data.

Het initiëren van een upgrade-traject ligt bij de verwerkingsverantwoordelijke. De verwerker kan een voorstel doen om te upgraden of te vervangen, maar is hiertoe niet verplicht. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de softwareinrichting technisch up-to-date is en aan de eisen van de AVG voldoet.

Verwerking in hostingomgevingen

Bij hostingomgevingen is het de verwerker die de technische inrichting van de hostingomgeving faciliteert. De verwerkingsverantwoordelijke is verantwoordelijk voor de veiligheid van de website of applicatie die op deze hostingomgeving wordt geplaatst. De verwerker is expliciet niet verantwoordelijk voor de veiligheid van deze website of applicatie.

De verwerkersovereenkomst moet duidelijk aangeven welke verantwoordelijkheden van toepassing zijn bij de inrichting van de hostingomgeving. De verwerkingsverantwoordelijke moet ervoor zorgen dat de website of applicatie veilig is en dat de verwerking van persoonsgegevens in overeenstemming is met de AVG.

De verwerkingsverantwoordelijke moet ook zorgvuldig kiezen welke verwerker wordt ingeschakeld voor de hostingdienst. Deze verwerker moet over voldoende technische expertise beschikken om de hostingomgeving veilig en conform de AVG in te richten. De verwerkingsverantwoordelijke is verantwoordelijk voor het controleren van de competentie en betrouwbaarheid van de verwerker.

Juridische en praktijkvoorbeelden: De WP Dokter

Een voorbeeld van een verwerkersovereenkomst bij softwareinrichting is de overeenkomst die is afgesloten tussen de WP Dokter en de verwerkingsverantwoordelijke. In deze overeenkomst is duidelijk gesteld welke partijen betrokken zijn, wat de inhoud van de verwerking is, en welke verplichtingen van toepassing zijn.

De WP Dokter is verwerker die softwareinrichting uitvoert en technische ondersteuning verleent. De verwerkingsverantwoordelijke is de partij die hostingdiensten afneemt van de WP Dokter. In de overeenkomst is vastgelegd dat de WP Dokter verantwoordelijk is voor het beheren van de hostingomgeving, maar niet voor de veiligheid van de website die op deze omgeving wordt geplaatst.

De verwerkingsverantwoordelijke is verplicht om ervoor te zorgen dat de website veilig is en dat de verwerking van persoonsgegevens in overeenstemming is met de AVG. De WP Dokter is verplicht om passende technische maatregelen te nemen en de verwerkingsverantwoordelijke op de hoogte te houden van eventuele problemen.

Conclusie

De AVG legt duidelijke verplichtingen op voor zowel de verwerkingsverantwoordelijke als de verwerker bij de inrichting van software. Deze verplichtingen omvatten het afsluiten van een juridisch bindende verwerkersovereenkomst, het vaststellen van doel en middelen voor de verwerking, het nemen van passende technische maatregelen, en het controleren van het beschermingsniveau bij externe verwerkingen.

De verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de verwerking en moet ervoor zorgen dat de externe partijen aan de AVG voldoen. De verwerker is verplicht om de verwerking volgens de AVG uit te voeren en de verwerkingsverantwoordelijke op de hoogte te houden van eventuele problemen of maatregelen.

Bij externe servers en SaaS-oplossingen is het van groot belang om ervoor te zorgen dat de verwerking binnen de EER plaatsvindt of dat passende maatregelen worden genomen. De verwerkingsverantwoordelijke is verantwoordelijk voor het controleren van het beschermingsniveau en het nemen van passende technische maatregelen.

De verwerkingsovereenkomst is een essentieel instrument om aan de eisen van de AVG te voldoen. Deze overeenkomst moet duidelijk aangeven wat de verplichtingen van de betrokken partijen zijn en hoe deze aan de AVG voldoen. Door zorgvuldig te kiezen welke verwerker wordt ingeschakeld en door passende maatregelen te nemen, kan de verwerkingsverantwoordelijke ervoor zorgen dat de verwerking van persoonsgegevens in overeenstemming is met de AVG.

Bronnen

  1. Gemeentelijke voorziening van ICT, FG en AVG
  2. Lokale regelgeving en AVG
  3. AVG Verwerkersovereenkomst, de WP Dokter

Related Posts