Conformité

AVG verwerker: verplichtingen artikel 28

Als verwerker heeft u specifieke AVG-verplichtingen. Artikel 28 uitgelegd: verwerkersovereenkomst, beveiliging en meer.

8 avril 20265 min de lectureWarDek Team

Verwerker of verwerkingsverantwoordelijke?

Onder de AVG zijn twee rollen cruciaal: de verwerkingsverantwoordelijke (bepaalt het doel en de middelen van de verwerking) en de verwerker (verwerkt gegevens in opdracht van de verantwoordelijke).

Als SaaS-aanbieder, hostingprovider, IT-dienstverlener of clouddienst bent u waarschijnlijk een verwerker. Dit brengt specifieke verplichtingen met zich mee die in artikel 28 van de AVG zijn vastgelegd.

Voorbeelden

| Rol | Voorbeeld | |---|---| | Verwerkingsverantwoordelijke | Webshop die klantgegevens verzamelt | | Verwerker | Hostingbedrijf dat de webshop draait | | Verwerker | E-mailmarketingplatform (Mailchimp, Brevo) | | Verwerker | SaaS CRM-systeem (HubSpot, Salesforce) | | Verwerker | Salarisverwerker (ADP, Visma) | | Subverwerker | Clouddienst (AWS) die de SaaS-aanbieder gebruikt |

De 8 kernverplichtingen van artikel 28

1. Alleen verwerken op basis van instructies

U mag persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke. Eigen gebruik van de gegevens is niet toegestaan, tenzij wettelijk verplicht.

Uitzondering: als een wet u verplicht gegevens te verwerken (bijv. gerechtelijk bevel), moet u de verantwoordelijke hiervan op de hoogte stellen, tenzij de wet dat verbiedt.

2. Geheimhouding

Zorg dat alle personen die toegang hebben tot persoonsgegevens gebonden zijn aan geheimhouding — via arbeidsovereenkomst, NDA of wettelijke verplichting.

3. Passende beveiligingsmaatregelen

Implementeer technische en organisatorische maatregelen die een passend beveiligingsniveau waarborgen, rekening houdend met:

Concrete maatregelen:

| Categorie | Maatregelen | |---|---| | Encryptie | TLS in transit, AES-256 at rest | | Toegangsbeheer | RBAC, MFA, least privilege | | Logging | Audit trails van alle gegevenstoegang | | Back-ups | Regelmatig, versleuteld, getest | | Patchmanagement | Tijdige beveiligingsupdates | | Personeel | Geheimhoudingsverklaringen, training |

4. Subverwerkers alleen met toestemming

U mag geen subverwerker inschakelen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. Er zijn twee opties:

Bij inschakeling van een subverwerker moet u dezelfde verplichtingen contractueel doorleggen.

5. Bijstand aan de verwerkingsverantwoordelijke

U bent verplicht de verantwoordelijke bij te staan bij:

6. Gegevens teruggeven of verwijderen na afloop

Na beëindiging van de verwerkersovereenkomst moet u alle persoonsgegevens verwijderen of teruggeven — naar keuze van de verantwoordelijke. Bestaande kopieën moeten worden vernietigd, tenzij wetgeving opslag vereist.

7. Audit-medewerking

U moet de verantwoordelijke alle informatie ter beschikking stellen die nodig is om compliance aan te tonen. Dit omvat medewerking aan audits en inspecties.

Tip: documenteer uw beveiligingsmaatregelen proactief (SOC 2-rapport, ISAE 3402) om individuele audits te beperken.

8. Verwerkingsregister bijhouden

Als verwerker houdt u een eigen verwerkingsregister bij (artikel 30 lid 2) met:

De verwerkersovereenkomst

De verwerkersovereenkomst (verwerkersovereenkomst of Data Processing Agreement) is het centrale document dat de relatie tussen verantwoordelijke en verwerker regelt.

Verplichte inhoud

| Element | Beschrijving | |---|---| | Onderwerp en duur | Wat wordt verwerkt en voor hoelang | | Aard en doel | Waarom en hoe gegevens worden verwerkt | | Soort gegevens | Welke categorieën persoonsgegevens | | Categorieën betrokkenen | Van wie de gegevens zijn | | Rechten en plichten verantwoordelijke | Instructierecht, auditrecht | | Rechten en plichten verwerker | Alle 8 verplichtingen hierboven | | Subverwerkers | Lijst + goedkeuringsproces | | Doorgifte | Mechanismen voor verwerking buiten EU |

Veelgemaakte fouten in verwerkersovereenkomsten

| Fout | Risico | |---|---| | Standaard template zonder aanpassing | Past niet bij specifieke verwerking | | Geen lijst van subverwerkers | Onvoldoende transparantie | | Geen procedure voor wijziging subverwerkers | Verantwoordelijke verliest controle | | Te vage beveiligingsmaatregelen | Niet afdwingbaar bij audit | | Geen exit-procedure | Onduidelijkheid bij beëindiging | | Ontbrekende meldtermijn datalekken | Vertraging in meldketen |

Doorgifte buiten de EU

Als u als verwerker gegevens verwerkt buiten de EER (Europese Economische Ruimte), moet u aanvullende waarborgen treffen:

  1. Adequaatheidsbesluit — het ontvangende land biedt voldoende bescherming (bijv. EU-VS Data Privacy Framework)
  2. Standard Contractual Clauses (SCC's) — de door de Europese Commissie goedgekeurde modelcontracten
  3. Binding Corporate Rules (BCR's) — voor doorgifte binnen een internationale onderneming

Na het Schrems II-arrest moet u daarnaast een Transfer Impact Assessment (TIA) uitvoeren om te beoordelen of het beschermingsniveau in de praktijk voldoende is.

Datalekken: de meldketen

Als verwerker heeft u een cruciale rol in de datalekmelding:

  1. Detectie — ontdek het lek zo snel mogelijk
  2. Melding aan verantwoordelijke — zonder onredelijke vertraging (best practice: binnen 24 uur)
  3. Ondersteuning — help de verantwoordelijke bij het beoordelen en melden aan de AP
  4. Mitigatie — neem maatregelen om de schade te beperken
  5. Documentatie — leg alles vast voor accountability

Checklist voor verwerkers

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.

#AVG#verwerker#verwerkersovereenkomst#artikel 28

Scannez votre site gratuitement

WarDek détecte les vulnérabilités mentionnées dans cet article en quelques secondes.

Lancer un scan gratuitVoir les offres WarDek
Retour à Conformité