Uitbesteding van verwerking van persoonsgegevens komt veelvuldig voor. Denk bijvoorbeeld aan het uitbesteden van je salarisadministratie.
Kan en mag dat met de AVG en zo ja, hoe en wat moet dan geregeld worden.
Ja zeker mag je verwerking van persoonsgegevens uitbesteden. Echter als verwerkingsverantwoordelijke, kortweg verantwoordelijke in dit artikel, ben en blijf je verantwoordelijk voor die verwerking. De verantwoordelijke bepaalt het doel en de middelen van de verwerking.
De verwerker doet alleen datgene wat hij met de verantwoordelijke heeft afgesproken. Dat moet worden vastgelegd in een verwerkersovereenkomst, waarin het volgende moet worden geregeld:
-
het onderwerp van de verwerking
-
de duur van de verwerking
-
de aard en het doel van de verwerking
-
het soort persoonsgegevens
-
de categorieën van betrokkenen
-
de rechten en plichten van verantwoordelijke en verwerker.
Bovendien moet daarin ook worden opgenomen:
-
instructie verwerking
-
geheimhoudingsplicht
-
beveiligingsmaatregelen bij verwerker
-
het al dan niet mogen inschakelen van subverwerkers
-
de rechten van betrokkenen
-
het melden van datalekken
-
het uitvoeren van een DPIA
-
meewerken aan audits
-
het na afloop van de verwerking verwijderen van persoonsgegevens.
Wilt u meer informatie hoe Juridiqua u kan helpen met verwerkersovereenkomsten en de overige privacy zaken voor uw onderneming, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.