Workflow voor verwerkersovereenkomsten waarbij de Faculteit Rechtsgeleerdheid data door andere partijen laat verwerken
Inleiding
Wanneer een onderzoeker data door een andere partij wil laten verwerken, bijvoorbeeld interviews laten transcriberen en vertalen door een vertaalbureau, dient er op grond van art. 28 lid 3 AVG een verwerkersovereenkomst ('data processing agreement') te worden afgesloten.
In een dergelijke overeenkomst zijn bepalingen opgenomen over onder andere de volgende onderwerpen:
- Welke beveiligingsmaatregelen de verwerker heeft getroffen tijdens de verwerking en transport;
- Welke personen bij de verwerker toegang hebben tot de data;
- Hoe lang de data bij de verwerker blijft en wat er gebeurt met de data na de verwerking.
Daarnaast kan het zijn dat er data wordt verwerkt die door andere partijen dan de RUG is aangeleverd. In dat geval wordt doorgaans conform art. 26 lid 1 AVG (GDPR) ook een samenwerkingsovereenkomst ('data sharing agreement') gesloten tussen de RUG en de andere partij.
Op verzoek van de PH Middelen van de Faculteit heeft de CETOR1 een workflow voor dergelijke overeenkomsten gedefinieerd. Deze wordt hieronder verder uitgewerkt.
Workflow voor verwerkersovereenkomsten
- De onderzoeker (of projectcontroller) neemt contact op de P&S coördinator van de Faculteit. De onderzoeker maakt in overleg met deze een Research Data Management Plan (RDMP) waaruit duidelijk wordt welke verwerkingen ven persoonsgegevens worden uitgevoerd en welke technische en organisatorische maatregelen rond de verwerking van de data worden toegepast.
- De P&S coördinator neemt daarna contact op met de afdeling Privacy van ABJZ. Wanneer het verstrekken van (onderzoeks)data met persoonsgegevens onderdeel van een grotere overeenkomst is, wordt dit binnen ABJZ verder afgestemd tussen de afdelingen Civiel en Privacy.
- ABJZ stuurt de conceptovereenkomst naar de P&S coördinator en de onderzoeker, wanneer van toepassing in cc aan de projectcontroller. Na eventuele redactie door hen gaat de definitieve overeenkomst naar de PH Middelen van het Faculteitsbestuur ter ondertekening.
- De PH Middelen stuurt de getekende overeenkomst naar de onderzoeker en de onderzoeker stuurt de overeenkomst naar de wederpartij.
Varianten of afwijkingen op deze workflow
- In het geval de onderzoeker of projectcontroller eerst contact opneemt met de PH Middelen of rechtstreeks contact opneemt met ABJZ wordt dit door hen teruggekoppeld aan de P&S coördinator met het oog op het opstellen van het datamanagementplan. Hierbij vindt uiteraard nader overleg met de onderzoeker plaats en ook eventueel afstemming met de afdeling Civiel van ABJZ, zoals omschreven in stap 1;
- De onderzoeker meldt zich bij de CETOR voor toetsing van het onderzoek. PH Middelen of de P&S coördinator verwijzen in dat geval eerst door naar ABJZ, in combinatie met stap 2, het aanleveren van een RDMP en de te nemen technische en organisatorische maatregelen;
- Het is onderzoekers niet toegestaan om zelf een dergelijke overeenkomst af te sluiten met de andere partij zonder de PH Middelen of de Management Controller te informeren. De onderzoeker is niet bevoegd om dit te doen en er ontstaat een reëel risico dat wettelijke verplichtingen uit de AVG niet worden nagekomen (kans op boetes) en/of een risico op een juridisch geschil waarbij de RUG (en niet de onderzoeker) partij is. Wanneer dit onverhoopt toch gebeurt, dan dient deze overeenkomst te worden getoetst door ABJZ en zo nodig te worden aangepast. Daarbij dient, conform stap 1 van de workflow, een actueel datamanagementplan aanwezig te zijn;
- Ook wanneer de andere partij zijn eigen (model) overeenkomst aanbiedt, dient deze door ABJZ getoetst te worden en zo nodig te worden aangepast.Als er in het verleden al een overeenkomst is gemaakt die de onderzoeker blijft gebruiken, dan dient deze overeenkomst te worden getoetst door ABJZ en zo nodig te worden aangepast, in combinatie met een actueel datamanagementplan;
- ABJZ gebruikt zijn eigen model voor een overeenkomst maar het komt voor dat de andere partij er op staat een eigen overeenkomst te gebruiken, deze wordt dan voorzien van een appendix met de technische en organisatorische maatregelen die door de RUG worden voorgesteld, en het datamanagementplan;
- Als deze overeenkomst onderdeel is van een grotere samenwerkingsovereenkomst, kan ABJZ ook de toezending aan de andere partij(en) afhandelen;
- Wanneer het om verwerkingen met een hoog risico gaat2, organiseert ABJZ in samenwerking met de P&S coördinator, de betrokken onderzoeker en het DCC een " Data Protection Impact Assessment " (DPIA) die op grond van art. 35 AVG (GDPR) wordt uitgevoerd.
1 Commissie Ethische Toetsing Onderzoek Rechtsgeleerdheid (CETOR): subgroep voor dit advies bestaande uit Maarten Goldberg, Anne Ruth Mackor, Jeanne Mifsud Bonnici en Evgeni Moyakine.
2 Zoals onder andere de verwerking van bijzondere persoonsgegevens of gegevens van kwetsbare personen. Zie hier voor meer informatie.
Laatst gewijzigd: | 02 juni 2022 15:34 |