AVG/GDPR: Wat als verwerkersovereenkomst niet getekend - Privacy en beveiliging

donderdag 31 mei 2018 14:12

Acties:

0 Henk 'm!

It's always christmas time

Topicstarter

Zoals bekend is de AVG/GDPR vorige week ingegaan.
Uiteraard hebben we een verwerkersovereenkomst opgesteld en aan al onze klanten verstuurd, echter merken we dat we deze lang niet in alle gevallen ondertekend retour hebben ontvangen.

Hoe zit het w.b.t. aansprakelijkheid in het geval van een datalek in het geval dat wij een verwerkersovereenkomst hebben aangeboden, maar deze door de klant niet ondertekend is geretourneerd?

Google brengt me vooral bij de redenen waarom een verwerkersovereenkomst verplicht is, maar op de 'wat als' vraag krijg ik helaas maar weinig gevonden.

donderdag 31 mei 2018 14:16

Acties:

0 Henk 'm!

WhizzCat

www.lichtsignaal.nl

Ik denk dat je al hun data dan het bitjes putje door moet spoelen? Dat zou mij logisch lijken. Of iig goed anonimseren

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

donderdag 31 mei 2018 14:16

Acties:

+1 Henk 'm!

Marber

Een verwerkersovereenkomst sluit je met leveranciers die ook toegang hebben tot je klantgegevens, niet met je klanten zelf (als ik het goed begrepen heb). Volgens mij behoor je ook zelf je leveranciers te benaderen, het is dan handig als je leverancier al een model overeenkomst heeft.

Volgens mij, is in deze de klant zelf verantwoordelijk en dus in gebreke als er geen verwerkersovereenkomst is.

donderdag 31 mei 2018 14:50

Acties:

0 Henk 'm!

DJMaze

^^ dit dus ^^ 👍

Maak je niet druk, dat doet de compressor maar

donderdag 31 mei 2018 15:04

Acties:

0 Henk 'm!

Artbij

Je bent beide verantwoordelijk voor het hebben van de overeenkomst. Je zult dus actief achter je klatnt aanmoeten.

Wat @DJMaze en @Marber zeggen klopt niet....

Met gestrekt been.

donderdag 31 mei 2018 15:26

Acties:

0 Henk 'm!

DJMaze

@Artbij jij hebt persoonsgegevens. Die wil jij mij laten verwerken.
Ik ben de verwerker en jij de verwerkingsverantwoordelijke.
Ik mag niet jouw data zomaar doorschuiven naar een ander (sub-verwerker).

In de AVG staat dat jij als verwerkingsverantwoordelijke bepaalt wat ik met de persoonlijke gegevens mag doen.

Maar goed, ik ben het met Engelfriet eens http://www.itenrecht.nl/a...-de-bewerkersovereenkomst

Maak je niet druk, dat doet de compressor maar

donderdag 31 mei 2018 15:28

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Pas op met het begrip 'klant'. Een klant hoeft niet de eigenaar van de data te zijn, maar het kan wel.

De verwerkingsverantwoordelijke bepaald inderdaad wat er met de gegevens mag gebeuren, maar de verwerker mag niet zomaar gegevens accepteren zonder verwerkersovereenkomst. @Artbij heeft dus gelijk dat beiden verantwoordelijk zijn, ook al is je rol in deze overeenkomst anders.

Vergelijk het met een onveilige auto huren. Het garagebedrijf had jou geen onveilige auto mogen verhuren, maar als je er mee de openbare weg op gaat dan is het toch je eigen verantwoordelijkheid.

This post is warranted for the full amount you paid me for it.

donderdag 31 mei 2018 15:33

Acties:

0 Henk 'm!

Artbij

DJMaze schreef op donderdag 31 mei 2018 @ 15:26:
@Artbij jij hebt persoonsgegevens. Die wil jij mij laten verwerken.
Ik ben de verwerker en jij de verwerkingsverantwoordelijke.
Ik mag niet jouw data zomaar doorschuiven naar een ander (sub-verwerker).

In de AVG staat dat jij als verwerkingsverantwoordelijke bepaalt wat ik met de persoonlijke gegevens mag doen.

Maar goed, ik ben het met Engelfriet eens http://www.itenrecht.nl/a...-de-bewerkersovereenkomst

Nee, jij hebt persoonsgegevens in handen, die moet jij afgestemd hebben met de eigenaar of je moet een verwerkersovereenkomst hiervoor hebben.

Met gestrekt been.

donderdag 31 mei 2018 15:40

Acties:

0 Henk 'm!

DJMaze

Natuurlijk zijn beide verantwoordelijk.

In mijn voorbeeld mag ik dus geen gegevens verwerken zolang de verwerkingsverantwoordelijke geen afspraken met mij heeft gemaakt.
Maar goed, dat was ook al zo met de Wbp.

[ Voor 10% gewijzigd door DJMaze op 31-05-2018 15:41 ]

Maak je niet druk, dat doet de compressor maar

donderdag 31 mei 2018 16:05

Acties:

0 Henk 'm!

sanzut

It's always christmas time

Topicstarter

Excuses, inderaad wat onduidelijkheid over mijn rol.
Wij zijn verwerker, onze klanten zijn verwerkingsverantwoordelijke. We hosten applicaties van onze klanten, dus door het putje spoelen van de data is niet gewenst.

Maar dit maakt het w.b.t. de gedeelde verantwoordelijkheid wel lastig, wat te doen als de verwerkersovereenkomst niet wordt getekend.

donderdag 31 mei 2018 16:26

Acties:

0 Henk 'm!

DJMaze

sanzut schreef op donderdag 31 mei 2018 @ 16:05:
wat te doen als de verwerkersovereenkomst niet wordt getekend.

Dan zou ik de klant bellen en melden dat binnen een maand de data wordt verwijderd omdat er geen overeenkomst is.
Hun account blokkeren voor invoer met een melding "er is nog geen overeenkomst", werkt natuurlijk ook.

Als verwerker verwerk ik hotel boekingen. Het laatste wat zij willen is een leeg hotel. Werkte perfect

[ Voor 27% gewijzigd door DJMaze op 31-05-2018 16:29 ]

Maak je niet druk, dat doet de compressor maar