top
Penrose Privacy afbeelding

Privacy statement, verwerkersovereenkomst en Cookies

  /    /  Privacy statement, verwerkersovereenkomst en Cookies

Penrose Advocaten privacy statement, verwerkersovereenkomst en cookies

Penrose is een advocatenkantoor gespecialiseerd in privacyrecht en cookies. Wij stellen alle relevante overeenkomsten, verklaringen en privacy statements op en begeleiden bedrijven en instellingen daarnaast bij audits en privacy compliance procedures. Hieronder gaan we daar dieper op in.

Anderen zochten ook naar:

De AVG legt primair regels op aan de organisatie die als ‘verwerkingsverantwoordelijke’ moet worden aangemerkt. Dit is de organisatie die het doel en de middelen voor de verwerking van de persoonsgegevens bepaalt. Anders gezegd: de organisatie die bepaalt wat er gaat gebeuren met de persoonsgegevens en op welke manier.

Toch is het niet altijd eenvoudig om vast te stellen of een organisatie nu ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is. Wanneer je een andere partij de opdracht geeft persoonsgegevens te verwerken, betekent dat niet per definitie dat die andere partij ‘verwerker’ is alleen omdat dit in jouw opdracht gebeurt. Het is immers ook mogelijk dat de andere partij persoonsgegevens verkrijgt van een verwerkingsverantwoordelijke zodat die andere partij een product of dienst kan leveren aan de betrokkene wiensd gegevens het bereft. In dat laatste geval is die andere partij (mede-)verwerkingsverantwoordelijke. De andere partij stelt namelijk zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast.

Zolang je degene bent die bepaalt wat er moet gebeuren met de persoonsgegevens en op welke manier, zal er in beginsel wel sprake zijn van een verwerkingsverantwoordelijke – verwerker relatie. Hierbij kan bijvoorbeeld worden gedacht aan het laten uitvoeren door een andere partij van de personeels- en salarisadministratie of het uitbesteden van de IT-omgeving.

Bij het inschakelen van verwerkers is het vereist om bepaalde afspraken schriftelijk vast te leggen in een ‘verwerkersovereenkomst.

Wanneer je als organisatie een ander inschakelt die in opdracht en ten behoeve van jouw organisatie persoonsgegevens gaat verwerken, vereist de AVG dat met die derde een overeenkomst wordt gesloten. De zogenaamde ‘verwerkersovereenkomst’. Dat is bijvoorbeeld aan de orde wanneer een organisatie de salarisadministratie of IT-voorzieningen uitbesteedt.

In de verwerkersovereenkomst wordt vastgelegd hoe de derde (de ‘verwerker’) met de persoonsgegevens van de organisatie (de ‘verwerkingsverantwoordelijke’) dient om te gaan.

Lees meer over de verwerkersovereenkomst.

Wanneer je als organisatie een andere partij inschakelt die ten behoeve van jouw organisatie persoonsgegevens gaat verwerken, vereist de AVG dat met die derde schriftelijke afspraken worden gemaakt. De zogenaamde ‘verwerkersovereenkomst’. Dat is bijvoorbeeld aan de orde wanneer een organisatie de salarisadministratie of bepaalde IT-voorzieningen uitbesteedt.

 

Wat moet er in de verwerkersovereenkomst?

In de verwerkersovereenkomst wordt vastgelegd hoe de derde (de ‘verwerker’) met de persoonsgegevens van de organisatie (zijnde de ‘verwerkingsverantwoordelijke’) dient om te gaan. Hierin staat in ieder geval:

  • welke persoonsgegevens worden verwerkt en voor hoe lang;
  • wat de aard en het doel van de verwerking is;
  • op welke manier de beveiliging van de persoonsgegevens is gewaarborgd.

Daarnaast wordt vaak aandacht besteed aan de volgende onderwerpen:

    • verplichtingen van de verwerker, zoals (i) verwerking uitsluitend in overeenstemming met de instructies van de verwerkingsverantwoordelijke, (ii) geheimhouding, (iii) verantwoordelijkheid bij het inschakelen van derden (‘sub-verwerkers’), (iv) medewerking verlenen zodat de verwerkingsverantwoordelijke wettelijke verplichten kan nakomen, bijvoorbeeld bij datalekken, wanneer betrokkenen hun privacyrechten uitoefenen, of het uitvoeren van een DPIA;
    • Het recht op een audit voor de verwerkingsverantwoordelijke om te kunnen controleren of de verwerker zich aan de gemaakte afspraken houdt.

Wanneer jouw organisatie op de (mobiele) website of applicatie gebruik maakt van ‘cookies’, beacons, pixels of andere technologieën, zal daar in de meeste gevallen een melding van moeten worden gemaakt. Cookies zijn kleine tekstbestandjes die op de computer of tablet worden opgeslagen op het moment dat een (mobiele) website of applicatie wordt bezocht.

Sommige cookies (zoals third party tracking cookies) mogen pas worden geplaatst nadat de gebruiker of bezoeker hiervoor toestemming heeft gegeven. In de AVG is expliciet bepaald dat cookies onder het bereik van de AVG vallen doordat met behulp van een cookie een persoon kan worden geïdentificeerd. Dat betekent dat de toestemming conform de AVG moet worden ingeregeld. Met een cookieverklaring kunnen organisaties bezoekers informeren over welke cookies worden gebruikt, voor welke doeleinden en hoe lang deze geldig zijn.

Bij Penrose, advocatenkantoor in Amsterdam, werken advocaten gespecialiseerd in privacy statements, verwerkersovereenkomsten en Cookies. Zij denken met je mee en beantwoorden graag jouw vragen. De contactgegevens van onze privacy specialist vind je hier.

Onze advocaten
privacyrecht
Chantal Bakermans portret
Advocaat
Nieuws

Privacy