Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

GDPR tips: Verwerkersovereenkomsten met je webbouwer of hosting provider

29.03.2018 Leesduur: 6 minuten

25 mei 2018 nadert met rasse schreden en de voorbije paar maanden is de Belgische ondernemerswereld duidelijk eindelijk wakker geworden en gestart met de voorbereidingen op de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels).

Een vaak terugkerende vraag in de vele audits die we op dit ogenblik voor onze eigen cliënten uitvoeren is de volgende: “wat moeten wij eigenlijk eisen van onze webbouwer en/of onze hosting provider in een verwerkersovereenkomst onder GDPR?

 

Verwerkersovereenkomsten zijn verplicht…

De eerste vaststelling is dat je webbouwer, je hosting provider, je externe IT-leverancier, je online agency, mailingagency, enz… allemaal partijen zijn die toegang krijgen of kunnen krijgen tot jouw persoonsgegevens, het is te zeggen tot persoonsgegevens die jij hebt verzameld en die jouw “eigendom” zijn.  Dat betekent dat er met al deze partijen een zogenaamde verwerkersovereenkomst moet afgesloten worden.  Zo’n verwerkersovereenkomst is een onder GDPR verplicht te voorziene geschreven overeenkomst waarin elke derde partij die toegang krijgt of kan krijgen tot jouw persoonsgegevens moet kunnen garanderen dat hij of zij er “veilig” en “GDPR conform” mee om zal gaan.  Je bent verplicht zulke overeenkomsten af te sluiten en het loutere feit dat je ze niet hebt met alle betrokken derde partijen kan je –theoretisch gezien- een fikseboete opleveren.

 

… maar ook nuttig

Los van de mogelijke boetes is zo’n verwerkersovereenkomst overigens ook een erg nuttig document.  Het is immers jouw garantie of jouw zekerheid dat je partners zorgvuldig, veilig en correct met je bedrijfsdata zullen omgaan.  Vanuit dat oogpunt zou zo’n verwerkersovereenkomst eigenlijk de vanzelfsprekendheid zelve moeten zijn.

Maar wat moet er dan in die verwerkersovereenkomsten staan?  Wel, zoals al hoger aangegeven, is de eerste bezorgdheid om van de verwerker de garantie te krijgen dat hij veilig omgaat met jouw gegevens. Daarnaast zegt de verordening dat in de overeenkomst ook moet opgenomen zijn wat de verwerker precies zal doen voor je (website hosten, maintenance en support, mailingacties, etc…), hoe lang zijn opdracht zal duren (1 jaar, 2 jaar, onbepaalde duur, etc…), welke gegevens hij zal mogen gebruiken of waar hij toegang toe zal hebben (naam, adres, e-mail, IP-adres, …) en welke de rechten en plichten van elk der partijen zullen zijn in het kader van deze opdracht.

Het is vooral dit laatste element dat interessant kan zijn en dat een verwerkersovereenkomst een echte meerwaarde kan opleveren voor de webshopuitbater ten aanzien van de webbouwer, hoster, mailingpartner of andere partijen.  Je kan hier immers enkele erg belangrijke regelingen treffen die later erg handig kunnen zijn en die je in conflictsituaties de nodige zekerheid en controle garanderen.

In de eerste plaats kan je van de verwerker waarop je beroep doet eisen dat hij niet enkel garandeert dat hij “veilig” met je data zal omgaan, maar dat hij bovendien zeer specifieke richtlijnen opvolgt over wat hij wel en niet mag.  Dat is met name het geval wanneer de verwerker in kwestie toegang krijgt tot “gevoelige” data zoals bijvoorbeeld degene die de verordening zelf opsomt (medische gegevens, biometrische gegevens, gegevens over geslacht, geloofsovertuiging, seksuele voorkeur, politieke voorkeur, lidmaatschap van een vakbond, afkomst of etnie) of andere data die als gevoelig kan beschouwd worden, zoals betaalkaartgegevens of financiële gegevens.  In zulke omstandigheden kan je precies afspreken hoe data overgemaakt wordt, wie er toegang toe krijgt, waar ze bewaard moet of mag worden, wanneer ze gewist moet worden, etc…  Gekoppeld aan een controlerecht of een auditrecht ter plaatse, ben je op die manier zeker van de veiligheid van je data.

Daarnaast kan je best in een verwerkersovereenkomst duidelijkheid eisen over de verzekeringen van de derde-verwerker voor gevallen van datalekken, hacking, phishing of andere potentiële schadegevallen.  Jij bent als webshop immers altijd verantwoordelijk ten aanzien van je klanten en als een en ander fout loopt kan je maar beter zorgen dat je je tegen je leverancier kan keren en dat die goed verzekerd is.  Hacking is overigens lang niet zo exotisch als het lijkt.  We worden bij Sirius Legal geregeld geconfronteerd met dergelijke dossiers.

De volgende belangrijke stap is duidelijk afspreken of je partner beroep mag doen op onderaannemers en zo ja op dewelke.  De GDPR voorziet wat dat betreft in een standaard verbod op onderaanneming, wat betekent dat je partner voor elke individuele onderaannemer in se opnieuw bij jou moet komen aankloppen, wat voor heel wat praktische moeilijkheden kan zorgen.  Zorg er dus voor dat meteen in de initiële overeenkomst voorzien is hoe en wanneer beroep kan gedaan worden op bepaalde onderaannemers (we denken bijvoorbeeld aan zelfstandige IT-consultants die mee aan uw website zullen werken).

Een volgend aandachtspunt is informatie-uitwisseling en coördinatie van acties ingeval van data breach of dataverlies.  De Verordening voorziet immers voor het eerst in een formele verplichting om de overheid te verwittigen indien je gegevens verliest of als deze gestolen of gekopieerd (kunnen) worden.  Je moet dan binnen 72 uur na vaststellen van het incident de overheid verwittigen.  Het niet tijdig melden van data-incidenten is op zich een reden om een aanzienlijke boete op te lopen, wat je natuurlijk liever vermijdt.  Om je meldplicht ten aanzien van de overheid correct na te komen in die gevallen waarin het probleem bij een van jouw partners ligt, is het van belang dat deze partner je zo snel mogelijke alle details verschaft over de data breach die bij hem of haar plaatsvond en vooral ook dat hij of zij zelf niet op eigen houtje en zonder overleg de overheid inlicht terwijl je zelf nog niet klaar bent om te communiceren.  Zorg er dus voor dat dergelijke situaties duidelijk contractueel geregeld zijn.  Ook hier moeten we al te vaak vaststellen dat bedrijven de grootste moeite hebben om van bijvoorbeeld een hosting provider details te krijgen van data breaches bij de provider.  De natuurlijke reflex is immers altijd om het eigen falen te bedekken, wat in dit soort gevallen nu precies vermeden moet worden.

 

Hou altijd zelf controle

Met deze tips in het achterhoofd kan je wellicht aan de slag met verwerkersovereenkomsten die niet enkel voldoen aan de formele vereiste van de GDPR, maar die voor jouw bedrijf ook écht een meerwaarde kunnen betekenen als het ooit fout gaat.  Laat ons afsluiten met een laatste tip wat dat betreft: hou altijd zelf controle.  Zorg voor je eigen model van verwerkersovereenkomst en leg dat voor aan je partners voordat zij je hun model bezorgen.  De waarborgen die je spontaan aangeboden zal krijgen, gaan immers in de meeste gevallen minder ver dan wat je als klant graag zou zien in zo’n overeenkomst…

 

Vragen over verwerkersovereenkomsten of over GDPR in het algemeen?

Contacteer gerust Bart Van den Brande op 0486 901 931 of op bart@siriuslegal.be

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.


Digitale start-ups

Idealiter staat jouw start-up juridisch helemaal op punt. Kijk verder dan enkel het betere contractenwerk, maar kies een sparring partner die met je meedenkt en alle juridische valkuilen voor je afdekt. 


AI en blockchain

De digitalisering van onze economie brengt heel wat juridische uitdagingen met zich mee. Wij adviseren je graag over de juridische impact van AI, Blockchain, cryptocurrencies, Internet of Things en digitale handtekeningen.


Web & app & software development

Actief in web, app of software development? Dan zorg je maar beter dat de projecten die je oplevert juridisch helemaal op punt staan. En de relaties met je klanten zitten meestal wel goed… tot het eens fout gaat, toch? 


Cyber security

Ook jouw bedrijf kan het slachtoffer worden van cybercriminaliteit, de meldingen rond cybercrime nemen exponentieel toe. Wij helpen je bij de opzet van een performant technisch én juridisch cyber security beleid.


E-commerce

Heb je een webshop of wil je er een starten? Laat je juridisch adviseren door onze e-commerce experten. In een mum van tijd is je webshop compliant!