“Wil je de verwerkersovereenkomst die in de bijlage zit even ondertekenen? Dat is namelijk verplicht onder de AVG.”
Is een verwerkersovereenkomst nodig?
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. In deze direct werkende verordening zijn de belangrijkste regels voor de omgang met persoonsgegevens vastgelegd. Eén van de bepalingen van de AVG vereist het afsluiten van verwerkersovereenkomsten. Hierin wordt met de verwerker (een derde partij) van persoonsgegevens afgesproken onder welke voorwaarden dit moet gebeuren.
In een poging te voldoen aan de AVG, worden er op grote schaal verwerkersovereenkomsten verzonden aan bedrijven waarmee persoonsgegevens worden uitgewisseld. Echter, vaak is dit niet nodig, of is de inhoud van een verwerkingsovereenkomst niet in lijn met de AVG. Hieronder leg ik uit wanneer een verwerkersovereenkomst nodig is en wat er precies in moet staan.
Waarom sluit je een verwerkersovereenkomst?
Kort gezegd komt het er op neer dat er een verwerkersovereenkomst opgesteld dient te worden indien de verwerkingsverantwoordelijke persoonsgegevens bij een externe partij, de verwerker, laat verwerken. Het is dus belangrijk om de rolverdeling van de verwerkingsverantwoordelijke en de verwerker helder voor ogen te hebben. Per gegevensverwerking kan namelijk de rolverdeling tussen verwerkingsverantwoordelijke en verwerker weer anders zijn.
Wanneer ben je verwerkingsverantwoordelijk en wanneer verwerker?
De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking van persoonsgegevens vaststelt. Anders gezegd: hij bepaalt wat er met de persoonsgegevens moet gebeuren en op welke wijze dat dient te gebeuren. De verwerker is de partij die deze verwerking voor de verwerkingsverantwoordelijke uitvoert, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Bij de verwerking heeft de verwerker wel enige ruimte om zelf invulling te geven aan de middelen. Zo kunnen technische en organisatorische vragen heel goed aan verwerkers worden gedelegeerd (bijvoorbeeld de vraag welke hard- of software moet worden gebruikt). Echter, de verwerker is nooit de partij die het doel van de verwerking bepaalt. In de praktijk gaat het vaak om een uitbesteding aan een extern bedrijf van een specifieke verwerking binnen een organisatie.
Voorbeelden hiervan zijn de salarisverwerking, personeelsadministratie, klantenbeheer, cloud- en hostingdiensten of camerabeveiliging.
Plaats nu jouw zaak op Lawspot.nl
Heb je een verwerkersovereenkomst nodig voor jouw onderneming en/of wil je advies van een Privacy-recht advocaat bij het ondertekenen van een verwerkersovereenkomst? De juiste advocaat vind je op Lawspot.nl! Wij zorgen ervoor dat je binnen enkele klikken een advocaat hebt gevonden die bij jou en jouw budget past.
Wat zet je in een verwerkersovereenkomst?
Wanneer duidelijk is dat er sprake is van een verwerkingsverantwoordelijke-verwerkersverhouding, moet de verwerking die deze verwerker voor de verwerkingsverantwoordelijke uitvoert, neergelegd worden in een (verwerkers)overeenkomst. Een verwerkersovereenkomst staat nooit op zichzelf en hangt altijd samen met de dienst die wordt geleverd. Het is daarom van belang de verwerkersovereenkomst onderdeel te maken van de hoofdovereenkomst (bijvoorbeeld door het daar als bijlage bij te voegen).
In een (verwerkers)overeenkomst moeten op grond van artikel 28 AVG de volgende onderwerpen aan bod komen:
- Onderwerp en duur van de verwerking;
- De aard en het doel van de verwerking;
- Het soort persoonsgegevens en de categorieën van betrokkene;
- Rechten en verplichtingen van de verwerkingsverantwoordelijke;
Verder is aan te raden om de volgende aspecten op te nemen in de verwerkersovereenkomst:
- Technische en organisatorische beveiligingsmaatregelen die zijn getroffen, waaronder een geheimhoudingsplicht en het beperken van de toegang tot de persoonsgegevens;
- Afspraken over de eventuele inschakeling van sub-verwerkers, zowel binnen als buiten de Europese Economische Ruimte (“EER”);
- De afhandeling van verzoeken van betrokkenen over hun persoonsgegevens, zoals het recht op inzage, correctie en verwijdering;
- Aansprakelijkheid en vrijwaring;
- Locatie van de persoonsgegevens. Immers, de verwerkingsverantwoordelijke moet weten in welke landen zijn persoonsgegevens worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
- Omgang met datalekken. In principe is de verwerkingsverantwoordelijke altijd verplicht datalekken te melden. Het is van belang kort te sluiten dat de verwerker datalekken altijd aan de verwerkingsverantwoordelijke meldt, zodat deze aan haar plicht kan voldoen.
Wat te doen als je een verwerkersovereenkomst ontvangt?
De scheidslijn tussen de verwerkingsverantwoordelijke en de verwerker is in de praktijk helaas niet altijd even duidelijk. Zeker in het geval meerdere verwerkingsverantwoordelijken en verwerkers bij een verwerking van persoonsgegevens zijn betrokken, dient goed te worden gekeken naar de praktijk en dient per geval te worden beoordeeld wat de rol van de betrokken partijen is. Bovenal is het raadzaam om steeds kritisch te blijven ten opzichte van de inhoud van de vele verwerkersovereenkomsten die ter ondertekening worden aangeboden. Een goede privacyrecht advocaat kan je hierin het beste adviseren!