Wanneer je als organisatie de verwerking van persoonsgegevens uitbesteedt aan een externe partij dan is het vanuit de privacywetgeving verplicht om afspraken te maken over de verwerking van de gegevens. Deze afspraken moeten schriftelijk worden vastgelegd. Het document waarin de afspraken staan beschreven wordt een ‘verwerkersovereenkomst’ genoemd. De AVG wet schrijft voor dat er een verwerkersovereenkomst moet zijn als:
- Jouw organisatie persoonsgegevens voor iemand verwerkt
- Je persoonsgegevens aan een derde ter beschikking stelt
Een verwerkersovereenkomst is niet altijd noodzakelijk een apart document. Het kan ook zo zijn dat de afspraken tussen partijen vastgelegd worden in een hoofdovereenkomst, algemene voorwaarden of een Service Level Agreement. Hoe dan ook, het is cruciaal om onder de AVG een verwerkersovereenkomst te hebben. Is dat niet het geval, dan kan de toezichthouder een boete van 10 miljoen of 2% van de wereldwijde omzet opleggen.
Wie is de verwerkingsverantwoordelijke en wie is de verwerker?
In een verwerkersovereenkomst staat beschreven wie verantwoordelijk is bij de verwerking van persoonsgegevens als daarvoor een ander bedrijf wordt ingeschakeld. In een dergelijke overeenkomst wordt gesproken over een verantwoordelijke en een verwerker.
De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
De verwerker is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Een voorbeeld is een bedrijf dat persoonsgegevens verzamelt ten behoeve van de salarisadministratie. Dit is de verantwoordelijke. Wanneer de gegevens worden verwerkt door een salarisadministratiekantoor dan is dit de verwerker.
AVG: De meest gestelde vragen. Download de gratis whitepaper.
De AVG-wet roept nog altijd veel vragen op. Wij hebben de meest gestelde vragen gebundeld in een handig document. Download het gratis.
Wat staat er in een verwerkersovereenkomst AVG?
In een verwerkersovereenkomst dient te worden opgenomen:
- Wat het doel van de verwerking is
- Wat de manier/methode van verwerking is (met welke middelen)
- De locatie van de data
- Geheimhouding
- Afspraken over eventuele onderaannemers/derden
- Beveiligingsmaatregelen
- De duur van de verwerking
- Afspraken over audits
- Afspraken over aansprakelijkheid
Data mag enkel worden opgeslagen en verwerkt voor de doeleinden die zijn opgenomen in de overeenkomst. Zodra het doel bereikt is en de overeenkomst is afgelopen, wat gebeurt er dan met de gegevens? Wie vernietigt ze of worden deze teruggestuurd? Het is van belang om dat in de verwerkersovereenkomst op te nemen. Daarnaast is het belangrijk dat partijen met elkaar in een overeenkomst vastleggen hoe er wordt omgegaan met datalekken. Wie meldt de datalekken en wie vergoedt de eventuele schade?
Het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst
De verwerkersovereenkomst zoals deze in de nieuwe privacywet staat beschreven is eigenlijk de bewerkersovereenkomst zoals die stond omschreven in de ‘oude’ Wet bescherming persoonsgegevens (Wbp). Het is dus eigenlijk niet meer dan een naamswijziging. Waar in de Wbp sprake was van een bewerker heet dat nu een verwerker.
Het is zaak dat je als organisatie nagaat van welke verwerkers je organisatie gebruik maakt, zodat je hiermee een verwerkersovereenkomst af kunt sluiten. Ook is het van belang om te bekijken of je zelf verwerker bent van gegevens en zo ja, met welke partij er dan een verwerkersovereenkomst afgesloten dient te worden.
CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl