Vlaams Artsensyndicaat vzw

Afd. Antwerpen, Limburg en Vlaams-Brabant

Login

  1. Home
  2. STAP 7 - Stel verwerkersovereenkomsten op

STAP 7 - Stel verwerkersovereenkomsten op

Een verwerker is iemand (een natuurlijke persoon of rechtspersoon, overheidsinstantie, diens of ander lichaam) die persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke heeft immers altijd de keuze tussen het intern verwerken van de gegevens, wat we nader omschrijven als “intern beheer”, en het uitbesteden van een deel van de verwerking aan een externe partij. Dan wordt er beroep gedaan op een “verwerker” en gebeurt de verwerking van de persoonsgegevens niet langer onder het gezag en toezicht van de verwerkingsverantwoordelijke. Typevoorbeelden van verwerkers zijn een sociaal secretariaat (voor de loonberekening), een IT-firma (voor de installatie en het onderhoud van software, eventueel voor de beveiliging van de verwerking) en een online platform (voor het beheer van patiëntengegevens).

Welke verwerker?

Met betrekking tot verwerkers heeft u 2 verplichtingen:

  1. U moet een passende verwerker kiezen
  2. U moet een verwerkersovereenkomst opstellen

 

Passende verwerker

Deze verplichting komt er op neer dat u enkel beroep mag doen op een verwerker die voldoende garanties biedt met betrekking tot het de beveiliging van de persoonsgegevens, het naleven van de GDPR en de bescherming van de rechten van de betrokkene.

De idee hierbij is duidelijk: zolang u zelf instaat voor de verwerking, kan en moet u er zelf voor zorgen dat die verwerking beantwoordt aan de GDPR. Zodra een deel van die verwerking wordt uitbesteed aan derden is dat een heel stuk moeilijker.

U moet dan ook eerst en vooral nagaan of de verwerker waar u een beroep wil op doen, voldoende maatregelen neemt om aan de GDPR te voldoen. Het volstaat uiteraard niet dat u dit louter vraagt, en genoegen neemt met het antwoord ‘ ja wij nemen voldoende maatregelen’. U moet toch een minimaal zicht krijgen in de maatregelen die de verwerker neemt, zoals de vraag of de toegang tot persoonsgegevens beperkt wordt tot de personen die toegang mogen hebben, welke maatregelen de verwerker neemt met betrekking tot gevoelige gegevens, …

Leidt de bevraging ertoe dat de verwerker niet als “passend” kan worden bestempeld, dan mag u met die verwerker niet in zee gaan en moet u in principe een andere verwerker kiezen.

terug

Verwerkersovereenkomst afsluiten

Ten tweede moet u met de verwerker een zogenaamde “verwerkersovereenkomst” afsluiten (cf. modelovereenkomst die u hier kan downloaden). Zo’n overeenkomst is eigenlijk een algemene omschrijving van wat de verwerker voor u zal doen met de persoonsgegevens.

Die overeenkomst moet vooreerst en in eerder algemene zin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke omschrijven. Daarnaast geeft de overeenkomst ook de verplichtingen aan van de verwerker (bescherming van de gegevens, bijstand verlenen bij eventuele klachten, …).

U zal nu waarschijnlijk wel aangeven dat u toch niet van grote internationale spelers kan vragen zo’n overeenkomst te ondertekenen. Toch bent u daar in principe toe verplicht. In de meeste gevallen zullen zij zelf zo’n overeenkomst opleggen indien dat nodig is, of de elementen van zo’n overeenkomst online publiceren, maar indien dat niet gebeurt, kan u best toch zo’n overeenkomst bij hen opvragen. Ook al geven ze die niet, dan kan u later ten minste aantonen dat u hier stappen in heeft ondernomen.

terug

terug naar het overzicht

Het Vlaams Artsensyndicaat is er voor u!

Uw steun en belangen doorheen uw loopbaan als arts

Bekijk wat we voor u als syndicaat kunnen doen