Hogeschool van Amsterdam

A-Z Studenten Logistics Engineering

Modellen

Overeenkomsten met betrekking tot uitwisseling en verwerking van persoonsgegevens

Als je aan andere partijen (buiten de HvA) persoonsgegevens verstrekt, is het altijd van belang daar goede afspraken over te maken. Het is soms wel lastig te bepalen welke modelovereenkomst daarvoor geschikt is. Om je te helpen is de volgende beslisboom opgesteld:

Download beslisboom

Hierna tref je de modellen aan, een Engelse vertaling heeft een A nummer:

1. Data-uitwisseling:

1 Model data-uitwisselingsovereenkomst voor onderzoek


2. Gezamenlijke verwerking:


3. Verwerkersovereenkomst:

4. Verwerking buiten een veilig land?

Op de site van de Europese commissie vind je of een land voor de AVG als “veilig” wordt beschouwd. Recent heeft het Europese Hof bepaald dat het zogeheten “Privacy Shield” dat door bedrijven in de Verenigde Staten werd toegepast, niet tot een adequaat niveau van bescherming van persoonsgegevens leidt. Gebruik van de EU-modellen, de zogeheten Standard Contractual Clauses is ook hier verplicht en overeenkomsten op basis van het Privacy Shield moeten worden herzien. Afwijking van de SCC is niet toegestaan.
In het kader van de Brexit wordt verwacht dat de EU binnen een half jaar besluit dat het VK als “veilig land” wordt beschouwd. In afwachting daarvan hoeven afspraken niet te worden aangepast.

Hieronder de twee Linken naar de sites EU betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad:

Wie tekent:

Op basis van de procuratieregeling kan je bepalen wie kan ondertekenen en uiteindelijk verantwoordelijk is voor het afsluiten van het contract. Hoofdregel: een opleidingsmanager als de verwerking alleen op zijn opleiding betrekking heeft, bij meer opleidingen binnen één faculteit de decaan, bij meer faculteiten het CvB. Dienstdirecteuren voor verwerkingen binnen hun dienst. Juridische zaken kan adviseren bij afwijken van standaardbepalingen, ICTS adviseert over passende beveiligingsmaatregelen.

5. Risico-analyse en DPIA

Als je persoonsgegevens verwerkt in een IT project of voor een grootschalig onderzoek, of als er substantiële wijzigingen in informatiesystemen plaatsvinden, is het verplicht een “IB&P-risicoanalyse” uit te voeren. Het geeft je een beeld over betrouwbaarheid en beveiliging en of er op grond van de AVG een DPIA (Data Protection Impact Assessment) vereist is.
Dat is altijd het geval als er grootschalige verwerking van persoonsgegevens of verwerking van bijzondere persoonsgegevens plaats vindt.

Hier vind je modellen met toelichting:

6. Privacy Statement voor een specifieke verwerking

Gepubliceerd door  Juridische Zaken 28 oktober 2021