De vereisten van de RGPD worden uitgebreid naar onderaannemers.

Contract

In het onderaannemingscontract moeten het voorwerp, de duur, de aard en het doel van de verwerking, het type persoonsgegevens, de categorieën betrokkenen, de rechten en verplichtingen van de Verwerkingsverantwoordelijke en de verplichtingen van de subcontractant op het gebied van de bescherming van persoonsgegevens worden gespecificeerd.

Audit

De verwerker moet audits door de verwerkingsverantwoordelijke toestaan, zodat deze kan garanderen dat hij de contractbepalingen met betrekking tot de bescherming van persoonsgegevens naleeft en dat hij de doorgegeven persoonsgegevens alleen verwerkt voor de doeleinden die zijn vastgelegd in de onderaannemingsovereenkomst en op gedocumenteerde instructie van de verwerkingsverantwoordelijke.

Toezicht op de onderaannemingsketen

De verwerker werft geen andere verwerker (niveau 2-verwerker) aan zonder voorafgaande schriftelijke toestemming, specifiek of algemeen, van de verwerkingsverantwoordelijke. Elk contract met een verwerker van niveau 2 moet dezelfde verplichtingen inzake gegevensbescherming bevatten als het contract met de Verwerkingsverantwoordelijke.

Register van verwerkers

Elke verwerker moet een register bijhouden van alle verwerkingen die namens elke Verwerkingsverantwoordelijke worden uitgevoerd. Dit register moet gekoppeld zijn aan het register van de Verwerkingsverantwoordelijke en moet op verzoek ook aan de toezichthoudende autoriteit ter beschikking worden gesteld.

Aansprakelijkheid van de verwerker

De verwerker is niet aansprakelijk voor materiële of immateriële schade veroorzaakt door de gegevensverwerking, tenzij hij niet heeft voldaan aan de in de AVG vermelde verplichtingen die specifiek op hem rusten, of indien hij buiten de rechtmatige instructies van de Verwerkingsverantwoordelijke om heeft gehandeld. De verwerker is onderworpen aan dezelfde boetes en administratieve sancties als de Verwerkingsverantwoordelijke.

Voor meer informatie