Via de REST API kunnen grote hoeveelheden data gemakkelijk worden uitgewisseld. Het is dan ook belangrijk dat je een verwerkersovereenkomst hebt afgesloten, zowel met AllSolutions als met de partij die de software of app levert waarmee de koppeling tot stand wordt gebracht.
De verwerkersovereenkomst is de overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan.
- De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Denk hierbij bijvoorbeeld aan een bedrijf dat de persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Of een vereniging die persoonsgegevens van de leden registreert. Het bedrijf is verantwoordelijk voor de gegevens.
- De verwerker is degene die voor de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (zoals AllSolutions).
Als een bedrijf persoonsgegevens laat verwerken door een verwerker, is altijd een verwerkersovereenkomst tussen beide wettelijk verplicht. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens ‘uitbesteedt’, is een schriftelijke overeenkomst vereist. Besef dat er algauw sprake is van ‘verwerken’ van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is bijvoorbeeld al een verwerking.
Ook als je (nog) niet direct persoonsgegevens gaat uitwisselen, is het verstandig om toch direct een verwerkingsovereenkomst met de externe partij af te sluiten. Mocht de REST API koppeling in de toekomst hierop worden uitgebreid, dan is dit een punt dat gemakkelijk over het hoofd wordt gezien.