Wat is een verwerkersovereenkomst?

door | aug 20, 2020

Wat is een Verwerkersovereenkomst?

‘In veel gevallen is een verwerkersovereenkomst nodig bij het uitbesteden aan derden’

Met een verwerkersovereenkomst sluit je als verwerkingsverantwoordelijke uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen.

Regelmatig sluiten bedrijven of organisaties een overeenkomst met een derde partij voor het verwerken van persoonsgegevens. Zo kan een bedrijf de salarisadministratie uitbesteden aan een onderneming die hierin gespecialiseerd is. Of een organisatie kan persoonlijke en privacygevoelige gegevens onderbrengen bij een clouddienst. Zo’n andere organisatie heet een verwerker.

In veel gevallen is dan een verwerkersovereenkomst nodig.

Het opstellen van een verwerkersovereenkomst

Het opstellen van een verwerkersovereenkomst is één van de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Hiervan is sprake als een andere partij specifiek is ingehuurd voor het verwerken van persoonsgegevens en zodoende ten behoeve van de opdrachtgever en onder diens verantwoordelijkheid persoonsgegevens verwerkt.

,,Je hebt dan de verwerkingsverantwoordelijke en de verwerker’’, legt privacy-advocaat Hylke Klasens uit. ,,De verwerkingsverantwoordelijke bepaalt voor welk doel de persoonsgegevens worden gebruikt en bewaard, en met welke middelen. De verwerker verwerkt de persoonsgegevens conform de instructies van de verwerkingsverantwoordelijke, onder diens toezicht.’’

 

ONline training van AVG

Online Training Basiskennis AVG

Bijzonder nuttig als je snel alles wilt leren van privacybescherming.  

De verwerkersovereenkomst is verplicht

Zo is een bedrijf dat alleen de loonadministratie bijhoudt voor anderen en daarbij persoonsgegevens verwerkt, een verwerker. Als een organisatie persoonlijke data opslaat in de cloud, is de clouddienstverlener ook een verwerker. Deze dienst wordt specifiek ingehuurd voor de opslag van data, maar de verwerkingsverantwoordelijke bepaalt welke gegevens worden opgeslagen en voor hoe lang.

In beide voorbeelden is een verwerkersovereenkomst verplicht. Toch kan het lastig zijn om te bepalen of zo’n overeenkomst nodig is. ,,Soms hebben dienstverleners persoonsgegevens nodig om hun werk te kunnen doen’’, zegt Klasens. ,,Denk bijvoorbeeld aan een accountant, notaris of advocaat. Het verwerken van persoonsgegevens is niet het primaire doel. In die gevallen is geen verwerkersovereenkomst verplicht.’’

Dat geldt evenmin voor de bloemist die bloemetjes bezorgt bij zieke mensen. Hij heeft geen doel om een verzuimdossier bij te houden, maar gebruikt de persoonsgegevens alleen om de bloemen te bezorgen.

AVG-eisen verantwoordelijke en verwerker

Als verwerkingsverantwoordelijke blijf je altijd verantwoordelijk voor de persoonsgegevens die jij verwerkt. Ook wanneer je die verwerking uitbesteedt aan een verwerker. Jouw klanten, burgers, patiënten etc. hebben hun persoonsgegevens immers met jóu gedeeld. En niet met jouw verwerker.

Maar dat betekent niet dat je als verwerker geen verantwoordelijkheden hebt. Ook jij moet aan bepaalde AVG-regels voldoen. Opdrachtgevers mogen dat ook van jou verwachten. Je onderscheidt je bovendien positief wanneer je laat zien dat je de AVG-regels kent en daaraan voldoet.

Met wie sluit je een verwerkersovereenkomst af?

Een verwerkersovereenkomst sluit je dus af met alle partijen die persoonsgegevens waarvoor jouw organisatie verantwoordelijk is, opslaan, bewaren of bewerken. Bijvoorbeeld met de beheerder van de website, de ledenadministrateur of drukker. Een verwerkingsverantwoordelijke en een verwerker moeten dus samen een verwerkersovereenkomst afsluiten. Doen zij dat niet? Dan zijn beide partijen in overtreding.

Een verwerkersovereenkomst hoeft niet persé een losse overeenkomst te zijn. Het is juist verstandig om in algemene(re) overeenkomsten afspraken te maken over de verwerking van persoonsgegevens. Daarmee wordt dit uniform geregeld en niet vergeten.

Als het voorgaande ingewikkeld klinkt, we doen vaak een quick scan bij ondernemers. Een makkelijke en goedkope manier om het op orde te krijgen. Binnen 5 dagen weet je alles en krijg je handvatten aangereikt. Lees meer: klik hier

Wat is de inhoud van een verwerkersovereenkomst?

In een verwerkersovereenkomst dienen tenminste de volgende zaken te worden vermeld:

  • het onderwerp en de duur van de verwerking,
  • de aard en het doel van de verwerking,
  • het soort persoonsgegevens en de categorieën van betrokkenen,
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Verder dient in de verwerkersovereenkomst het volgende te worden bepaald voor de verwerker:

  • de persoonsgegevens alleen verwerkt onder de schriftelijke instructies van de verwerkingsverantwoordelijke, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht),
  • waarborgt dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting,
  • minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als de verwerkingsverantwoordelijke,
  • de verwerkingsverantwoordelijke alle mogelijke ondersteuning biedt bij het nakomen van diens verplichtingen met het oog op de beantwoording van verzoeken rondom de rechten van betrokkenen,
  • de verwerkingsverantwoordelijke bijstaat bij het nakomen van diens verplichtingen op het gebied van de beveiliging van persoonsgegevens en de meldplicht datalekken,
  • na beëindiging van de overeenkomst de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens wist of teruggeeft, en bestaande kopieën verwijdert.
  • de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;
  • afspraken met betrekking tot sub-verwerkers maakt.
Voorbeeld van het e-boekje over het bepalen of een verwerkersovereenkomst nodig is.

Datalekken en teruggave bij einde overeenkomst

Een ander punt dat absoluut niet mag ontbreken is hoe partijen omgaan met datalekken. Het is van groot belang goed vast te leggen wie datalekken meldt en wie de schade die daardoor ontstaat zal vergoeden. En wat gebeurt er bij het einde van de overeenkomst? Worden de gegevens door de verwerker vernietigd of teruggestuurd? En als dat kosten met zich meebrengt, wie draait daarvoor op? Ook dat moet worden opgenomen in een verwerkersovereenkomst.

Wie is waarvoor verantwoordelijk

Er zijn situaties waarbij een bedrijf met betrekking tot bepaalde verwerkingen kan worden aangeduid als verwerker en met betrekking tot andere verwerkingen als verwerkingsverantwoordelijke. Hierbij kun je denken aan een hostingbedrijf dat enerzijds in opdracht van de verwerkingsverantwoordelijke hostingdiensten verleent. Voor zover er bij het leveren van diensten persoonsgegevens worden verwerkt, zal dit bedrijf als verwerker worden aangeduid. Als het bedrijf bijvoorbeeld deze persoonsgegevens ook voor zichzelf gaat analyseren om bepaalde trends vast te leggen, dan is dit bedrijf voor deze werkzaamheden verwerkingsverantwoordelijke. Hiervoor hebben wij een handige checklist gemaakt .

Op de hoogte blijven van trends in privacy en informatiebeveiliging?

'Schrijf je in op de nieuwsbrief'

"*" geeft vereiste velden aan

Naam*
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Lees ook: