Standpunt RACS NV inzake EU General Data Protection Regulation (GDPR)
Op 25 mei 2018 laatstleden werden de nieuwe GDPR regels van kracht. U bent vast en zeker via nieuws en talloze mails of seminars uitvoerig geïnformeerd geweest omtrent GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming).
U zult zich tevens afgevraagd hebben, met wie en voor welke producten of dienstverlening, u een specifieke verwerkersovereenkomst zou moeten afsluiten. Wij hebben dit, voor wat onze rol betreft, laten uitzoeken door onze juristen en op basis hiervan lichten wij u graag ons standpunt toe.
RACS NV is als organisatie niet gehouden verwerkersovereenkomsten af te sluiten met zijn klanten, daar wij, en samen met ons ook de juristen, van mening zijn dat wij geen verwerkersrol hebben in het kader van de nieuwe GDPR wetgeving binnen onze samenwerking met u als klant. Uiteraard zijn hier randvoorwaarden aan gekoppeld die het verschil kunnen uitmaken wat deze verplichting betreft.
Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Een verwerker handelt louter in opdracht van de verwerkingsverantwoordelijke wat de verwerking van gegevens betreft. De gegevens in kwestie worden hiertoe overgedragen aan de verwerker.
RACS verzamelt noch verwerkt gegevens van zijn klanten, daar wij louter software leveren om te installeren binnen de klanten zijn omgeving. De verantwoordelijkheid van de infrastructuur ligt uitsluitend bij de klant of een door de klant aangestelde derde partij, anders dan RACS.
Essentieel hier is vervolgens, binnen welke werkingsomgeving worden er manipulaties van software en desgevallende data uitgevoerd en met welk doel. Bij RACS zal men nooit gegevens buiten de klantenomgeving brengen, laat staan opslaan.
Het is niet omdat men binnen de klant zijn omgeving vraagt om handelingen uit te voeren aan een software, al dan niet met data, waarbij de data nooit de gesloten werkomgeving van de klant verlaat, dat men hierdoor een verwerkersrol krijgt en gehouden is om hiervoor een verwerkersovereenkomst af te sluiten.
Alle handelingen die data betreffen worden uitsluitend binnen de omgeving van de klanten gesteld. Het is, op dat ogenblik dan ook aan de klant om er voor te zorgen dat de infrastructuur waarbinnen dit zou gebeuren, voldoet aan de veiligheids- en preventievoorwaarden die voorzien zijn binnen de GDPR richtlijnen.
Wat de klantgegevens betreft die RACS zou behandelen aangaande de commerciële of technische relatie die we hebben met onze klanten, daarvoor doen wij al het nodige om geen overtollige, persoonlijke of andere gegevens bij te houden, anders dan noodzakelijk voor de goede werking van de relatie en de nodige wettelijke geplogenheden die met zo een relatie gepaard gaan ( vb facturatiegegevens ). In dat kader is de GDPR regelgeving echter vrij expliciet met te stellen dat deze gegevens, (lees niet – persoons- of gevoelige gegevens), buiten de GDPR richtlijnen vallen.
Tot slot willen we ook benadrukken dat de installatie van onze software enkel op de klant zijn infrastructuur zal plaatsvinden en niet in een hosted omgeving opgezet en beheerd door RACS NV.
Dit alles leidt tot gevolg dat wij, na afdoend juridisch onderzoek tot besluit zijn gekomen dat wij niet gehouden zijn verwerkersovereenkomsten af te sluiten.
Let wel, inzake confidentialiteit en veiligheid betreffende manier van handelen binnen de klant zijn omgeving, waarbij men al dan niet zou kunnen geconfronteerd worden met data van de klant, gelden voor RACS, en meer bepaald alle medewerkers van RACS, uiterst strenge regels naar confidentialiteit, preventie en veiligheid binnen de policy die wij hiervoor hanteren.
In de hoop u hiermee voldoende duidelijkheid verschaft te hebben aangaande uw bezorgdheden wat GDPR betreft en meer bepaald het gebruik van RACS software, blijven wij uiteraard verder ter uwer beschikking betreffende mogelijke vragen die u hier verder nog mocht rond hebben.
RACS NV