In een tijdperk waarin privacy hoog in het vaandel staat, is het van cruciaal belang dat organisaties zorgvuldig omgaan met de persoonlijke gegevens die ze verzamelen en verwerken. Een belangrijk instrument dat hierbij komt kijken is de verwerkersovereenkomst.

Een verwerkersovereenkomst legt de verantwoordelijkheden en verplichtingen vast tussen een verwerkingsverantwoordelijke en een verwerker van persoonsgegevens. In dit blog gaan we dieper in op wat een verwerkersovereenkomst is, wanneer je er een nodig hebt en wat erin hoort te staan.

In dit blog:

Behoudt het overzicht en bewaar je verwerkersovereenkomsten in Base27.

 

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een contract tussen twee partijen: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is doorgaans de partij die bepaalt waarom en hoe persoonsgegevens worden opgenomen. De verwerker is de entiteit die deze gegevens namens de verwerkingsverantwoordelijke verwerkt. In de verwerkersovereenkomst worden de specifieke voorwaarden vastgelegd waaronder de verwerker de persoonsgegevens mag verwerken.

Wie moet een Verwerkersovereenkomst tekenen? 

Een verwerkersovereenkomst moet worden getekend door zowel de verwerkingsverantwoordelijke als de verwerker. De verwerkingsverantwoordelijke is de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt. De verwerker daarentegen voert de verwerking uit in opdracht van de verwerkingsverantwoordelijke. Beide partijen zijn wettelijk verplicht om deze overeenkomst aan te gaan als er sprake is van gegevensverwerking door een derde partij.

Wat is het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst? 

Een bewerkersovereenkomst was de term die vóór de invoering van de Algemene Verordening Gegevensbescherming (AVG) werd gebruikt. De AVG heeft deze term vervangen door 'verwerkersovereenkomst'. Beide termen verwijzen naar hetzelfde document: een overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker waarin afspraken worden vastgelegd over het verwerken van persoonsgegevens. De term 'bewerkersovereenkomst' is verouderd, maar het principe blijft hetzelfde.

Waarom een verwerkersovereenkomst?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je te maken met een verantwoordingsplicht. Je moet in dat geval voldoen aan de eisen van de privacywet (AVG). Hier komt een verwerkersovereenkomst van pas.

De reden waarom de AVG de verwerkersovereenkomst eist, is zodat je kunt aantonen dat de persoonsgegevens goed worden beschermd door beide partijen. Hiermee kun je direct beroep doen op de grondslag van de verantwoordelijke.

Wat als je geen verwerkersovereenkomst hebt opgesteld? 

Als er geen verwerkersovereenkomst is opgesteld, loop je het risico op boetes van de Autoriteit Persoonsgegevens (AP). Daarnaast kun je juridisch aansprakelijk worden gesteld als er iets misgaat met de verwerking van de gegevens. De verwerkingsverantwoordelijke is verplicht om deze overeenkomst af te sluiten om te waarborgen dat de verwerker zich houdt aan de AVG.

Wanneer heb je een verwerkersovereenkomst nodig?

Wanneer je gebruik maakt van de diensten van een verwerker, zijn jij en de verwerker beide verplicht om afspraken op te stellen in een verwerkersovereenkomst.

De AVG eist namelijk een verwerkersovereenkomst van zowel de verwerkingsverantwoordelijken als de verwerkers. Beide partijen zijn dan ook aansprakelijk als een verwerkersovereenkomst ontbreekt.

verwerkersovereenomst-wat is het en wanneer nodig

 

Wie is verantwoordelijk voor het regelen van een verwerkersovereenkomst?

Vaak wijst de praktijk uit dat de verwerkingsverantwoordelijke de verantwoordelijkheid op zich neemt voor het opstellen van een overeenkomst. Vaak komt vanuit deze partij ook het initiatief om de verwerking uit te besteden. 

Hoewel dit niet verplicht is en het initiatief ook vanuit de verwerker mag komen, blijft de verantwoordelijkheid voor de verwerking als geheel, en dus ook het inschakelen van de verwerker, bij de verwerkingsverantwoordelijke liggen. Ook als de verwerkersovereenkomst is opgesteld door de verwerker.

Maar hoe bepaal je of je een verwerker of verwerkingsverantwoordelijke bent?

Dit hangt af van de rol die je speelt in de verwerking van persoonsgegevens. Als je de doeleinden en middelen van de verwerking bepaalt, ben je verwerkingsverantwoordelijke. Voer je alleen de verwerking uit in opdracht van een ander, dan ben je verwerker. Laten we voorbeelden doornemen. Let hierbij wel op, deze zijn situationeel afhankelijk van de specifieke situatie. Schakel altijd hulp in van informatiebeveiligingsexperts als je het niet zeker weet. 

Situatie 1: Werken met een pakketservice

Stel je werkt met een pakketservice als PostNL. PostNL kan zowel verwerkingsverantwoordelijke als verwerker zijn, afhankelijk van de situatie. Als zij bijvoorbeeld pakketten bezorgen en zelf bepalen welke gegevens zij verwerken en waarom, zijn zij verwerkingsverantwoordelijke. Verwerken zij echter persoonsgegevens namens een andere organisatie, dan zijn zij verwerker.

Situatie 2: Werken met een arbodienst

Een arbodienst is doorgaans een verwerker, omdat zij persoonsgegevens verwerken namens de werkgever (de verwerkingsverantwoordelijke) bij het uitvoeren van verzuimbegeleiding en andere diensten.

Situatie 3: Werken met een accountant

Een accountant is vaak een verwerker omdat zij persoonsgegevens verwerken namens hun klanten voor administratieve of financiële dienstverlening. Echter, in sommige gevallen kunnen zij ook als verwerkingsverantwoordelijke worden beschouwd, bijvoorbeeld wanneer zij bepalen hoe bepaalde gegevens verwerkt moeten worden. Een accountant is vaak vanwege de onafhankelijkheid die zij moeten hebben zelf ook verantwoordelijke. Dit heet dan een gezamenlijke verwerkingsverantwoordelijke.

Maar hoe zit dat dan als er een datalek is ontdekt?

De verwerkingsverantwoordelijke is altijd degene die verantwoordelijk is voor het melden van een datalek aan de AP en betrokkenen. De verwerker heeft de plicht om de verwerkingsverantwoordelijke onmiddellijk op de hoogte te stellen van een datalek, zodat deze tijdig actie kan ondernemen. Dit moet doorgaans binnen 72 uur gebeuren.

Welke verplichtingen heeft de verwerker? 

De verwerker heeft verschillende verplichtingen volgens de AVG. Deze omvatten:

  • Het uitsluitend verwerken van persoonsgegevens op basis van de instructies van de verwerkingsverantwoordelijke.
  • Het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen.
  • Het ondersteunen van de verwerkingsverantwoordelijke bij het vervullen van verplichtingen, zoals het melden van datalekken en het beantwoorden van verzoeken van betrokkenen.
  • Het inschakelen van subverwerkers mag alleen met toestemming van de verwerkingsverantwoordelijke.
  • Het bijhouden van een register van alle categorieën van verwerkingsactiviteiten.

Lees ook: Rollen en verantwoordelijkheden voor informatiebeveiliging

Wat staat er in een verwerkersovereenkomst volgens de AVG?

In de verwerkersovereenkomst worden de volgende onderwerpen vastgelegd:

Verwerkingsinstructies: Het uitgangspunt is duidelijk: alle verwerking vindt plaats op basis van schriftelijke instructies. De verwerker mag de persoonsgegevens op geen enkele manier voor eigen doeleinden gebruiken.

Geheimhoudingsplicht: Iedereen die werkzaam is voor de verwerker, inclusief hun medewerkers, draagt een strikte geheimhoudingsplicht. De gegevens blijven daardoor vertrouwelijk en goed beschermd.

Beveiliging: Uiteraard staat beveiliging hoog in het vaandel. De verwerker neemt passende technische en organisatorische maatregelen om de verwerking te beschermen. Denk hierbij aan maatregelen zoals pseudonimisering en versleuteling van persoonsgegevens, consistente informatiebeveiliging, procedures voor het herstellen van beschikbaarheid en het managen van toegang tot gegevens en regelmatige beveiligingstesten.

Subverwerkers: Er worden geen subverwerkers ingeschakeld zonder voorafgaande schriftelijke toestemming. Mocht het nodig zijn om een subverwerker in te schakelen, dan krijgt deze is er een aparte overeenkomst tussen verwerker en subverwerker waarin vergelijkbare verplichtingen worden opgelegd als de verwerker heeft ten opzichte van de verwerkingsverantwoordelijke.

Privacyrechten: De verwerker wordt ondersteund bij het vervullen van de verplichtingen wanneer betrokkenen hun privacyrechten uitoefenen. Denk hierbij aan rechten zoals inzage, correctie, verwijdering en dataportabiliteit.

Overige verplichtingen: Ook andere verplichtingen worden niet vergeten. Dit omvat bijvoorbeeld het uitvoeren van een Data Protection Impact Assessment (DPIA) en eventueel het uitvoeren van een voorafgaande raadpleging.

Melden van datalekken: Tevens wordt er vastgelegd wat de procedure bij het identificeren van een datalek is en welke rol de verwerker daarin speelt. Denk hierbij ook aan consequenties als het datalek vanuit de verwerker is gekomen. 

Gegevensverwijdering: Zodra de verwerkingsdiensten zijn afgerond, zorgt de verwerker ervoor dat de gegevens worden verwijderd. Indien gewenst worden de gegevens teruggegeven aan de verwerkingsverantwoordelijke. Eventuele kopieën worden eveneens verwijderd, tenzij er een wettelijke verplichting is om de gegevens te bewaren.

Audits: De verwerker werkt volledig mee aan audits (of controles) die de verwerkingsverantwoordelijke uitvoert of die worden uitgevoerd door derden. Alle relevante informatie wordt verstrekt om te verzekeren dat de verwerker voldoet aan de genoemde verplichtingen (volgens artikel 28 van de AVG).

Aansprakelijkheid: Ook wordt de aansprakelijkheid besproken in het geval dat iemand schade lijdt en / of doordat de AVG niet correct is nagevolgd. Doorgaans is de verwerkingsverantwoordelijke hoofd-aansprakelijk. Het is raadzaam duidelijke afspraken te maken over de verdeling van aansprakelijkheid.

Algemene beschrijving: Tot slot mag een heldere beschrijving van het onderwerp niet ontbreken. Hierin vind je de duur, de aard en het doel van de verwerking, het type persoonsgegevens dat wordt verwerkt, de categorieën van betrokken personen en jouw rechten en verantwoordelijkheden als verwerkingsverantwoordelijke. Deze wordt normaliter toegevoegd als bijlage.

Let goed op deze regels van de AVG bij een verwerkersovereenkomst

Er zijn een aantal aandachtspunten waar je op moet letten bij het opstellen van een verwerkersovereenkomst:

  1. De AVG beschouwt degene die daadwerkelijk het doel en de middelen van de verwerking bepaalt als verwerkingsverantwoordelijke, ongeacht of jullie dit anders hebben bepaald in een verwerkersovereenkomst.
  2. Er mogen geen afspraken worden opgenomen in een verwerkersovereenkomst die in strijd zijn met de richtlijnen van de AVG. Als je hier wel van afwijkt, loop je het risico in overtreding te zijn.
  3. Een verwerkersovereenkomst moet ondertekend worden door beide partijen. Als jullie het niet eens worden over de inhoud, kun je ervoor kiezen niet met de partij samen te werken. Als je een samenwerking aangaat zonder verwerkersovereenkomst, zijn beide partijen in overtreding.

Niet elke handeling met gegevens valt onder het verwerken van persoonsgegevens. Voorbeelden van handelingen die geen verwerking van persoonsgegevens zijn, betreffen het gebruik van volledig geanonimiseerde gegevens waarbij personen niet langer identificeerbaar zijn. Ook het verwerken van informatie die niet over een persoon gaat, zoals gegevens over producten of zaken, valt buiten de reikwijdte van de AVG.

Welke persoonsgegevens mogen niet worden verwerkt?

Volgens de AVG mogen bepaalde bijzondere persoonsgegevens niet zomaar worden verwerkt. Dit zijn onder andere gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of biometrische gegevens, en gegevens over gezondheid of seksueel gedrag. Het verwerken van deze gegevens is verboden, tenzij er een wettelijke uitzondering geldt, zoals expliciete toestemming van de betrokkenen of een zwaarwegend algemeen belang.

Hoe lang is een verwerkersovereenkomst geldig?

Een verwerkersovereenkomst is geldig zolang de samenwerking tussen de verwerker en de verwerkingsverantwoordelijke duurt. Dit betekent dat de overeenkomst geldig is zolang de verwerker persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke. Het is verstandig om de overeenkomst regelmatig te evalueren en aan te passen als de aard van de verwerking of de wetgeving verandert.

Verwerkingsovereenkomst voorbeeld

De Europese Commissie (EC) heeft standaardcontractbepalingen opgesteld om op te nemen in een verwerkersovereenkomst voor de doorgifte van persoonsgegevens binnen de Europese Economische Ruimte (EER).

Je kunt het contract downloaden via deze link.

Base27 - verwerkersovereenkomst voorbeeld

Behoudt het overzicht en bewaar je verwerkersovereenkomsten in Base27.

 

Benieuwd welke editie het beste bij uw organisate past?

Wij helpen bedrijven met hun digitale veiligheid