Verwerkersovereenkomst

door | aug 20, 2020

Verwerkersovereenkomst: nodig of niet?

‘In veel gevallen is een verwerkersovereenkomst nodig bij het uitbesteden aan derden’

Regelmatig sluiten bedrijven of organisaties een overeenkomst met een derde partij voor het verwerken van persoonsgegevens. Zo kan een bedrijf de salarisadministratie uitbesteden aan een onderneming die hierin gespecialiseerd is. Of een organisatie kan persoonlijke en privacygevoelige gegevens onderbrengen bij een clouddienst. In veel gevallen is dan een verwerkersovereenkomst nodig.

Het opstellen van een verwerkersovereenkomst 

Het opstellen van een verwerkersovereenkomst is een van de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Hiervan is sprake als een andere partij specifiek is ingehuurd voor het verwerken van persoonsgegevens en zodoende ten behoeve van de opdrachtgever en onder diens verantwoordelijkheid persoonsgegevens verwerkt.

,,Je hebt dan de verwerkingsverantwoordelijke en de verwerker’’, legt privacy-advocaat Hylke Klasens uit. ,,De verwerkingsverantwoordelijke bepaalt voor welk doel de persoonsgegevens worden gebruikt en bewaard, en met welke middelen. De verwerker verwerkt de persoonsgegevens conform de instructies van de verwerkingsverantwoordelijke, onder diens toezicht.’’

 

ONline training van AVG

Online Training Basiskennis AVG

Bijzonder nuttig als je snel alles wilt leren van privacybescherming.  

De verwerkersovereenkomst is verplicht

 

Zo is een bedrijf dat alleen de loonadministratie bijhoudt voor anderen en daarbij persoonsgegevens verwerkt, een verwerker. Als een organisatie persoonlijke data opslaat in de cloud, is de clouddienstverlener ook een verwerker. Deze dienst wordt specifiek ingehuurd voor de opslag van data, maar de verwerkingsverantwoordelijke bepaalt welke gegevens worden opgeslagen en voor hoe lang.

In beide voorbeelden is een verwerkersovereenkomst verplicht. Toch kan het lastig zijn om te bepalen of zo’n overeenkomst nodig is. ,,Soms hebben dienstverleners persoonsgegevens nodig om hun werk te kunnen doen’’, zegt Klasens. ,,Denk bijvoorbeeld aan een accountant, notaris of advocaat. Het verwerken van persoonsgegevens is niet het primaire doel. In die gevallen is geen verwerkersovereenkomst verplicht.’’ 

Dat geldt evenmin voor de bloemist die bloemetjes bezorgt bij zieke mensen. Hij heeft geen doel om een verzuimdossier bij te houden, maar gebruikt de persoonsgegevens alleen om de bloemen te bezorgen. 

Als het voorgaande ingewikkeld klinkt, we doen vaak een quick scan bij ondernemers. Een makkelijke en goedkope manier om het op orde te krijgen. Binnen 5 dagen weet je alles en krijg je handvatten aangereikt. Lees meer: klik hier

Wie is waarvoor verantwoordelijk

Er zijn situaties waarbij een bedrijf met betrekking tot bepaalde verwerkingen kan worden aangeduid als verwerker en met betrekking tot andere verwerkingen als verwerkingsverantwoordelijke. Hierbij kun je denken aan een hostingbedrijf dat enerzijds in opdracht van de verwerkingsverantwoordelijke hostingdiensten verleent. Voor zover er bij het leveren van diensten persoonsgegevens worden verwerkt, zal dit bedrijf als verwerker worden aangeduid. Als het bedrijf bijvoorbeeld deze persoonsgegevens ook voor zichzelf gaat analyseren om bepaalde trends vast te leggen, dan is dit bedrijf voor deze werkzaamheden verwerkingsverantwoordelijke. Hiervoor hebben wij een handige checklist gemaakt .

Voorbeeld van het e-boekje over het bepalen of een verwerkersovereenkomst nodig is.

Op de hoogte blijven van trends in privacy en informatiebeveiliging?  

'Schrijf je in op de nieuwsbrief'


Lees ook:

Share This