English
Nederlands
In een tijdperk waarin privacy hoog in het vaandel staat, is het van cruciaal belang dat organisaties zorgvuldig omgaan met de persoonlijke gegevens die ze verzamelen en verwerken. Een belangrijk instrument dat hierbij komt kijken is de verwerkersovereenkomst.
Deze juridische overeenkomst legt de verantwoordelijkheden en verplichtingen vast tussen een verwerkingsverantwoordelijke en een verwerker van persoonsgegevens. Laten we dieper ingaan op wat een verwerkersovereenkomst is, wanneer je er een nodig hebt en wat erin hoort te staan.
In dit blog:
- Wat is een verwerkersovereenkomst?
- Waarom een verwerkersovereenkomst?
- Wanneer heb je een verwerkersovereenkomst nodig?
- Wie is verantwoordelijk voor het regelen van een verwerkersovereenkomst?
- Wat staat er in een verwerkersovereenkomst volgens de AVG?
- Voorbeeld van een verwerkersovereenkomst met Base27
Behoudt het overzicht en bewaar je verwerkersovereenkomsten in Base27.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een contract tussen twee partijen: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is doorgaans de partij die bepaalt waarom en hoe persoonsgegevens worden opgenomen. De verwerker is de entiteit die deze gegevens namens de verwerkingsverantwoordelijke verwerkt. De verwerkersovereenkomst legt de specifieke voorwaarden vast waaronder de verwerker de persoonsgegevens mag verwerken.
Waarom een verwerkersovereenkomst?
Wanneer je als organisatie persoonsgegevens verwerkt, heb je te maken met een verantwoordingsplicht. Je moet in dat geval voldoen aan de eisen van de privacywet (AVG). Hier komt een verwerkersovereenkomst van pas.
De reden waarom de AVG de verwerkersovereenkomst eist, is zodat je kunt aantonen dat de persoonsgegevens goed worden beschermd door beide partijen. Hiermee kun je direct beroep doen op de grondslag van de verantwoordelijke.
Wanneer heb je een verwerkersovereenkomst nodig?
Wanneer je gebruik maakt van de diensten van een verwerker, zijn jij en de verwerker beide verplicht om afspraken op te stellen in een verwerkersovereenkomst.
De AVG eist namelijk een verwerkersovereenkomst van zowel de verwerkingsverantwoordelijken als de verwerkers. Beide partijen zijn dan ook aansprakelijk als een verwerkersovereenkomst ontbreekt.
Wie is verantwoordelijk voor het regelen van een verwerkersovereenkomst?
Vaak wijst de praktijk uit dat de verwerkingsverantwoordelijke de verantwoordelijkheid op zich neemt voor het opstellen van een overeenkomst. Vaak komt vanuit deze partij ook het initiatief om de verwerking uit te besteden.
Hoewel dit niet verplicht is en het initiatief ook vanuit de verwerker mag komen, blijft de verantwoordelijkheid voor de verwerking als geheel, en dus ook het inschakelen van de verwerker, bij de verwerkingsverantwoordelijke liggen. Ook als de verwerkersovereenkomst is opgesteld door de verwerker.
Lees ook: Rollen en verantwoordelijkheden voor informatiebeveiliging
Wat staat er in een verwerkersovereenkomst volgens de AVG?
In de verwerkersovereenkomst worden de volgende onderwerpen vastgelegd:
Verwerkingsinstructies: Het uitgangspunt is duidelijk: alle verwerking vindt plaats op basis van schriftelijke instructies. De verwerker mag de persoonsgegevens op geen enkele manier voor eigen doeleinden gebruiken.
Geheimhoudingsplicht: Iedereen die werkzaam is voor de verwerker, inclusief hun medewerkers, draagt een strikte geheimhoudingsplicht. De gegevens blijven daardoor vertrouwelijk en goed beschermd.
Beveiliging: Uiteraard staat beveiliging hoog in het vaandel. De verwerker neemt passende technische en organisatorische maatregelen om de verwerking te beschermen. Denk hierbij aan maatregelen zoals pseudonimisering en versleuteling van persoonsgegevens, consistente informatiebeveiliging, procedures voor het herstellen van beschikbaarheid en het managen van toegang tot gegevens en regelmatige beveiligingstesten.
Subverwerkers: Er worden geen subverwerkers ingeschakeld zonder voorafgaande schriftelijke toestemming. Mocht het nodig zijn om een subverwerker in te schakelen, dan krijgt deze is er een aparte overeenkomst tussen verwerker en subverwerker waarin vergelijkbare verplichtingen worden opgelegd als de verwerker heeft ten opzichte van de verwerkingsverantwoordelijke.
Privacyrechten: De verwerker wordt ondersteund bij het vervullen van de verplichtingen wanneer betrokkenen hun privacyrechten uitoefenen. Denk hierbij aan rechten zoals inzage, correctie, verwijdering en dataportabiliteit.
Overige verplichtingen: Ook andere verplichtingen worden niet vergeten. Dit omvat bijvoorbeeld het uitvoeren van een Data Protection Impact Assessment (DPIA) en eventueel het uitvoeren van een voorafgaande raadpleging.
Melden van datalekken: Tevens wordt er vastgelegd wat de procedure bij het identificeren van een datalek is en welke rol de verwerker daarin speelt. Denk hierbij ook aan consequenties als het datalek vanuit de verwerker is gekomen.
Gegevensverwijdering: Zodra de verwerkingsdiensten zijn afgerond, zorgt de verwerker ervoor dat de gegevens worden verwijderd. Indien gewenst worden de gegevens teruggegeven aan de verwerkingsverantwoordelijke. Eventuele kopieën worden eveneens verwijderd, tenzij er een wettelijke verplichting is om de gegevens te bewaren.
Audits: De verwerker werkt volledig mee aan audits (of controles) die de verwerkingsverantwoordelijke uitvoert of die worden uitgevoerd door derden. Alle relevante informatie wordt verstrekt om te verzekeren dat de verwerker voldoet aan de genoemde verplichtingen (volgens artikel 28 van de AVG).
Aansprakelijkheid: Ook wordt de aansprakelijkheid besproken in het geval dat iemand schade lijdt en / of doordat de AVG niet correct is nagevolgd. Doorgaans is de verwerkingsverantwoordelijke hoofd-aansprakelijk. Het is raadzaam duidelijke afspraken te maken over de verdeling van aansprakelijkheid.
Algemene beschrijving: Tot slot mag een heldere beschrijving van het onderwerp niet ontbreken. Hierin vind je de duur, de aard en het doel van de verwerking, het type persoonsgegevens dat wordt verwerkt, de categorieën van betrokken personen en jouw rechten en verantwoordelijkheden als verwerkingsverantwoordelijke. Deze wordt normaliter toegevoegd als bijlage.
Let goed op deze regels van de AVG bij een verwerkersovereenkomst
Er zijn een aantal aandachtspunten waar je op moet letten bij het opstellen van een verwerkersovereenkomst:
- De AVG beschouwt degene die daadwerkelijk het doel en de middelen van de verwerking bepaalt als verwerkingsverantwoordelijke, ongeacht of jullie dit anders hebben bepaald in een verwerkersovereenkomst.
- Er mogen geen afspraken worden opgenomen in een verwerkersovereenkomst die in strijd zijn met de richtlijnen van de AVG. Als je hier wel van afwijkt, loop je het risico in overtreding te zijn.
- Een verwerkersovereenkomst moet ondertekend worden door beide partijen. Als jullie het niet eens worden over de inhoud, kun je ervoor kiezen niet met de partij samen te werken. Als je een samenwerking aangaat zonder verwerkersovereenkomst, zijn beide partijen in overtreding.
Verwerkingsovereenkomst voorbeeld
De Europese Commissie (EC) heeft standaardcontractbepalingen opgesteld om op te nemen in een verwerkersovereenkomst voor de doorgifte van persoonsgegevens binnen de Europese Economische Ruimte (EER).
Je kunt het contract downloaden via deze link.
Behoudt het overzicht en bewaar je verwerkersovereenkomsten in Base27.
