AVG: wel of geen verwerkersovereenkomst?

Veel van onze klanten gebruiken Xtendis voor het digitaal archiveren van hun personeelsdossiers. In deze dossiers zitten uiteraard documenten die onder de Algemene Verordening Gegevensbescherming (AVG) vallen. Hierdoor krijgen wij momenteel dagelijks vragen van klanten die een verwerkersovereenkomst met ons willen sluiten. De vraag is of dat verplicht is. Deze vraag wordt hieronder beantwoord, voor zowel Xtendis-Online klanten als klanten die Xtendis op hun eigen server(s) geïmplementeerd hebben.

Bewerkersovereenkomst Xtendis-Online

Klanten die documenten met persoonsgegevens vastleggen in Xtendis-Online, moeten een verwerkersovereenkomst sluiten met Expansion. Voor klanten die zelf geen verwerkersovereenkomst hebben, hebben wij een exemplaar dat ze kunnen invullen en aanpassen.

Hoe zit dit voor klanten die Xtendis on-premise gebruiken?

Klanten die Xtendis geïmplementeerd hebben op hun eigen server(s), hoeven (volgens ons) geen verwerkersovereenkomst te sluiten. Wij baseren ons hierbij op informatie van de Autoriteit Persoonsgegevens. Zij geven aan dat dat niet nodig is als “de verwerking van de persoonsgegevens niet de primaire opdracht is” (zie paragraaf 3.5 op bladzijde 33 van dit document van de Autoriteit Persoonsgegevens).

Voor on-premise klanten geldt dat wij (incidenteel) wel toegang hebben tot hun Xtendis-systeem, maar zeker niet de verwerking van persoonsgegevens de primaire opdracht is. De primaire opdracht is het leveren van ondersteuning. In deze situatie kan worden volstaan met het toetsen van de geheimhoudingsplicht in het ISO-27001 systeem en/of het afsluiten van een geheimhoudingsovereenkomst.

ISO-27001 van toepassing voor alle klanten

Expansion is ISO-27001 gecertificeerd voor alle producten en diensten die zij levert. De afspraken en regels die wij hebben vastgelegd in ons ISO-systeem zijn dus ook van toepassing voor on-premise klanten. In dit systeem ligt uiteraard vast dat al onze medewerkers informatie, die zij bijvoorbeeld onder ogen krijgen in systemen van klanten, niet mogen delen.

Voor vragen of meer informatie over dit onderwerp neem gerust contact met mij op of vul het contactformulier in zodat wij jou van de gewenste informatie kunnen voorzien. 

 

johan

Johan Blank

Algemeen Directeur

Plaats reactie