A-Z Studenten Bedrijfseconomie
Modellen
Overeenkomsten met betrekking tot uitwisseling en verwerking van persoonsgegevens
Als je aan andere partijen (buiten de HvA) persoonsgegevens verstrekt, is het altijd van belang daar goede afspraken over te maken. Het is soms wel lastig te bepalen welke modelovereenkomst daarvoor geschikt is. Om je te helpen is de volgende beslisboom opgesteld:
Download beslisboom
Hierna tref je de modellen aan, een Engelse vertaling heeft een A nummer:
1. Data-uitwisseling:
2. Gezamenlijke verwerking:
3. Verwerkersovereenkomst:
4. Verwerking buiten een veilig land?
Op de site van de Europese commissie vind je of een land voor de AVG als “veilig” wordt beschouwd. Recent heeft het Europese Hof bepaald dat het zogeheten “Privacy Shield” dat door bedrijven in de Verenigde Staten werd toegepast, niet tot een adequaat niveau van bescherming van persoonsgegevens leidt. Gebruik van de EU-modellen, de zogeheten Standard Contractual Clauses is ook hier verplicht en overeenkomsten op basis van het Privacy Shield moeten worden herzien. Afwijking van de SCC is niet toegestaan.
In het kader van de Brexit wordt verwacht dat de EU binnen een half jaar besluit dat het VK als “veilig land” wordt beschouwd. In afwachting daarvan hoeven afspraken niet te worden aangepast.
Hieronder de twee Linken naar de sites EU betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad:
- Link naar Nederlandstalig besluit
- Link naar Engelstalig besluit
en HvA - Template Data Transfer Impact Assessment (DTIA)
Wie tekent:
Op basis van de procuratieregeling kan je bepalen wie kan ondertekenen en uiteindelijk verantwoordelijk is voor het afsluiten van het contract. Hoofdregel: een opleidingsmanager als de verwerking alleen op zijn opleiding betrekking heeft, bij meer opleidingen binnen één faculteit de decaan, bij meer faculteiten het CvB. Dienstdirecteuren voor verwerkingen binnen hun dienst. Juridische zaken kan adviseren bij afwijken van standaardbepalingen, ICTS adviseert over passende beveiligingsmaatregelen.
5. Risico-analyse en DPIA
Als je persoonsgegevens verwerkt in een IT project of voor een grootschalig onderzoek, of als er substantiële wijzigingen in informatiesystemen plaatsvinden, is het verplicht een “IB&P-risicoanalyse” uit te voeren. Het geeft je een beeld over betrouwbaarheid en beveiliging en of er op grond van de AVG een DPIA (Data Protection Impact Assessment) vereist is. Dat is altijd het geval als er grootschalige verwerking van persoonsgegevens of verwerking van bijzondere persoonsgegevens plaats vindt.
Hier vind je modellen met toelichting:
6. Privacy Statement voor een specifieke verwerking
- Download hier het document: Model privacy statement voor een specifieke verwerking
7. Toestemmingsformulier.
Als je persoonsgegevens verwerkt met de grondslag toestemming, dan kun je daarvoor onderstaand formulier gebruiken. De AVG kent 6 mogelijke grondslagen voor een verwerking. Stem altijd met de privacy officer af welke grondslag van toepassing is op jouw verwerking.
Dit formulier kun je ook opnemen in een digitale omgeving. Zorg er altijd voor dat de toestemming actief wordt gevraagd.
- Download hier het toestemmingsformulier in word