GDPR tips: Verwerkersovereenkomsten met uw webbouwer of hosting provider

25 mei 2018 nadert met rasse schreden en de voorbije paar maanden is de Belgische ondernemerswereld duidelijk eindelijk wakker geworden en gestart met de voorbereidingen op de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels).

Een vaak terugkerende vraag in de vele audits die we op dit ogenblik voor onze eigen cliënten uitvoeren is de volgende: “wat moeten wij eigenlijk eisen van onze webbouwer en/of onze hosting provider in een verwerkersovereenkomst onder GDPR.

Verwerkersovereenkomsten zijn verplicht…

De eerste vaststelling is dat je webbouwer, uw hosting provider, uw externe IT-leverancier, uw online agency, mailingagency, enz… allemaal partijen zijn die toegang krijgen of kunnen krijgen tot jouw persoonsgegevens, het is te zeggen tot persoonsgegevens die jij hebt verzameld en die jouw “eigendom” zijn.  Dat betekent dat er met al deze partijen een zogenaamde verwerkersovereenkomst moet afgesloten worden.  Zo’n verwerkersovereenkomst is een onder de GDPR verplicht te voorziene geschreven overeenkomst waarin elke derde partij die toegang krijgt of kan krijgen tot uw persoonsgegevens moet kunnen garanderen dat hij of zij er “veilig” en “conform de GDPR” mee om zal gaan.  Je bent verplicht zulke overeenkomsten af te sluiten en het loutere feit dat je ze niet heeft met alle betrokken derde partijen kan je –theoretisch gezien- een fixe boete opleveren.

… maar ook nuttig

Los van de mogelijke boetes is zo’n verwerkersovereenkomst overigens ook een erg nuttig document.  Het is immers jouw garantie of jouw zekerheid dat je partners zorgvuldig, veilig en correct met je bedrijfsdata zullen omgaan.  Vanuit dat oogpunt zou zo’n verwerkersovereenkomst eigenlijk de vanzelfsprekendheid zelve moeten zijn.

Maar wat moet er dan in die verwerkersovereenkomsten staan?  Wel, zoals al hoger aangegeven, is de eerste bezorgdheid om van de verwerker de garantie te krijgen dat hij veilig omgaat met uw gegevens. Daarnaast zegt de verordening dat in de overeenkomst ook moet opgenomen zijn wat de verwerker precies zal doen voor je (website hosten, maintenance en support, mailingacties, etc…), hoe lang zijn opdracht zal duren (1 jaar, 2 jaar, onbepaalde duur, etc…), welke gegevens hij zal mogen gebruiken of waar hij toegang toe zal hebben (naam, adres, e-mail, IP-adres, …) en welke de rechten en plichten van elk der partijen zullen zijn in het kader van deze opdracht.

Het is vooral dit laatste element dat interessant kan zijn en dat een verwerkersovereenkomst een echte meerwaarde kan opleveren voor de webshopuitbater ten aanzien van de webbouwer, hoster, mailingpartner of andere partijen.  Je kan hier immers enkele erg belangrijke regelingen treffen die later erg handig kunnen blijken te zijn en die je in conflictsituaties de nodige zekerheid en controle garanderen.

In de eerste plaats kan je van de verwerker waar je beroep op doet eisen dat hij niet enkel garandeert dat hij “veilig” met je data zal omgaan, maar dat hij bovendien zeer specifieke richtlijnen opvolgt over wat hij wel en niet mag.  Dat is met name het geval wanneer de verwerker in kwestie toegang krijgt tot “gevoelige” data zoals bijvoorbeeld degene die de verordening zelf opsomt (medische gegevens, biometrische gegevens, gegevens over geslacht, geloofsovertuiging, seksuele voorkeur, politieke voorkeur, lidmaatschap van een vakbond, afkomst of etnie) of andere data die als gevoelig kan beschouwd worden, zoals betaalkaartgegevens of financiële gegevens.  In zulke omstandigheden kan je precies afspreken hoe data overgemaakt wordt, wie er toegang toe krijgt, waar ze bewaard moet of mag worden, wanneer ze gewist moet worden, etc…  Gekoppeld aan een controlerecht of een auditrecht ter plaatse, ben je op die manier zeker van de veiligheid van je data.

Daarnaast kan je best in een verwerkersovereenkomst duidelijkheid eisen over de verzekeringen van de derde-verwerker voor gevallen van datalekken, hacking, phishing of andere potentiële schadegevallen.  Jij bent als webshop immers altijd verantwoordelijk ten aanzien van je klanten en als een en ander fout loopt kan je maar beter zorgen dat je je tegen je leverancier kan keren en dat die goed verzekerd is.  Hacking is overigens lang niet zo exotisch als het lijkt.  We worden bij Sirius Legal geregeld geconfronteerd met dergelijke dossiers.

De volgende belangrijke stap is duidelijk afspreken of je partner beroep mag doen op onderaannemers en zo ja op dewelke.  De GDPR voorziet wat dat betreft in een standaard verbod op onderaanneming, wat betekent dat je partner voor elke individuele onderaannemer in se opnieuw bij jou moet komen aankloppen, wat voor heel wat praktische moeilijkheden kan zorgen.  Zorg er dus voor dat meteen in de initiële overeenkomst voorzien is hoe en wanneer beroep kan gedaan worden op bepaalde onderaannemers (we denken bijvoorbeeld aan zelfstandige IT-consultants die mee aan uw website zullen werken).

Een volgend aandachtspunt is informatie-uitwisseling en coördinatie van acties ingeval van data breach of dataverlies.  De Verordening voorziet immers voor het eerst in een formele verplichting om de overheid te verwittigen indien u gegevens verliest of als deze gestolen of gekopieerd (kunnen) worden.  Jij moet dan binnen 72 uur na vaststellen van het incident de overheid verwittigen.  Het niet tijdig melden van data-incidenten is op zich een reden om een aanzienlijke boete op te lopen, wat je natuurlijk liever vermijdt.  Om uw meldplicht ten aanzien van de overheid correct na te komen in die gevallen waarin het probleem bij een van uw partners ligt, is het van belang dat deze partner u zo snel mogelijke alle details verschaft over de data breach die bij hem of haar plaatsvond en vooral ook dat hij of zij zelf niet op eigen houtje en zonder overleg de overheid inligt terwijl u zelf nog niet klaar bent om te communiceren.  Zorg er dus voor dat dergelijke situaties duidelijk contractueel geregeld zijn.  Ook hier moeten we al te vaak vaststellen dat bedrijven de grootste moeite hebben om van bijvoorbeeld een hosting provider details te krijgen van data breaches bij de provider.  De natuurlijke reflex is immers altijd om het eigen falen te bedekken, wat in dit soort gevallen nu precies vermeden moet worden.

Hou altijd zelf controle

Met deze tips in het achterhoofd kan je wellicht aan de slag met verwerkersovereenkomsten die niet enkel voldoen aan de formele vereiste van de GDPR, maar die voor uw bedrijf ook écht een meerwaarde kunnen betekenen als het ooit fout gaat.  Laat ons afsluiten met een laatste tip wat dat betreft: hou altijd zelf controle.  Zorg voor je eigen model van verwerkersovereenkomst en leg dat voor aan je partners voordat zij je hun model bezorgen.  De waarborgen die je spontaan aangeboden zal krijgen, gaan immers in de meeste gevallen minder ver dan wat je als klant graag zou zien in zo’n overeenkomst…

Vragen over verwerkersovereenkomsten of over GDPR in het algemeen?

Contacteer gerust Bart Van den Brande op 0486 901 931 of op bart@siriuslegal.be