Wat is een verwerkersovereenkomst AVG? En wat is het verschil met een bewerkersovereenkomst?

Wanneer je de verwerking van persoonsgegevens uitbesteedt heb je een verwerkersovereenkomst nodig. Lees er alles over.

AVG uitzendbranche
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Wanneer je als organisatie de verwerking van persoonsgegevens uitbesteedt aan een externe partij dan is het vanuit de privacywetgeving verplicht om afspraken te maken over de verwerking van de gegevens. Deze afspraken moeten schriftelijk worden vastgelegd. Het document waarin de afspraken staan beschreven wordt een ‘verwerkersovereenkomst’ genoemd. De AVG wet schrijft voor dat er een verwerkersovereenkomst moet zijn als:

  • Jouw organisatie persoonsgegevens voor iemand verwerkt
  • Je persoonsgegevens aan een derde ter beschikking stelt

Een verwerkersovereenkomst is niet altijd noodzakelijk een apart document. Het kan ook zo zijn dat de afspraken tussen partijen vastgelegd worden in een hoofdovereenkomst, algemene voorwaarden of een Service Level Agreement. Hoe dan ook, het is cruciaal om onder de AVG een verwerkersovereenkomst te hebben. Is dat niet het geval, dan kan de toezichthouder een boete van 10 miljoen of 2% van de wereldwijde omzet opleggen.

Wie is de verwerkingsverantwoordelijke en wie is de verwerker?

In een verwerkersovereenkomst staat beschreven wie verantwoordelijk is bij de verwerking van persoonsgegevens als daarvoor een ander bedrijf wordt ingeschakeld. In een dergelijke overeenkomst wordt gesproken over een verantwoordelijke en een verwerker.

De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Een voorbeeld is een bedrijf dat persoonsgegevens verzamelt ten behoeve van de salarisadministratie. Dit is de verantwoordelijke. Wanneer de gegevens worden verwerkt door een salarisadministratiekantoor dan is dit de verwerker.

Wat staat er in een verwerkersovereenkomst AVG?

In een verwerkersovereenkomst dient te worden opgenomen:

  • Wat het doel van de verwerking is
  • Wat de manier/methode van verwerking is (met welke middelen)
  • De locatie van de data
  • Geheimhouding
  • Afspraken over eventuele onderaannemers/derden
  • Beveiligingsmaatregelen
  • De duur van de verwerking
  • Afspraken over audits
  • Afspraken over aansprakelijkheid

Data mag enkel worden opgeslagen en verwerkt voor de doeleinden die zijn opgenomen in de overeenkomst. Zodra het doel bereikt is en de overeenkomst is afgelopen, wat gebeurt er dan met de gegevens? Wie vernietigt ze of worden deze teruggestuurd? Het is van belang om dat in de verwerkersovereenkomst op te nemen. Daarnaast is het belangrijk dat partijen met elkaar in een overeenkomst vastleggen hoe er wordt omgegaan met datalekken. Wie meldt de datalekken en wie vergoedt de eventuele schade?

Het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst

De verwerkersovereenkomst zoals deze in de nieuwe privacywet staat beschreven is eigenlijk de bewerkersovereenkomst zoals die stond omschreven in de ‘oude’ Wet bescherming persoonsgegevens (Wbp). Het is dus eigenlijk niet meer dan een naamswijziging. Waar in de Wbp sprake was van een bewerker heet dat nu een verwerker.

Het is zaak dat je als organisatie nagaat van welke verwerkers je organisatie gebruik maakt, zodat je hiermee een verwerkersovereenkomst af kunt sluiten. Ook is het van belang om te bekijken of je zelf verwerker bent van gegevens en zo ja, met welke partij er dan een verwerkersovereenkomst afgesloten dient te worden.

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Kom in contact met de partner in certificeren!

Meer informatie over de mogelijkheden?

  • Altijd een oplossing op maat
  • Jouw organisatie als uitgangspunt
  • Snel, pragmatisch en persoonlijk

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields