Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 is de zogeheten ‘verwerkersovereenkomst’ een struikelblok voor vele partijen. Bedrijven vragen zich vaak af of zij nu wel of niet een verwerkersovereenkomst nodig hebben. En zo ja, wat leg je dan in zo’n overeenkomst precies vast? Wat betekenen de begrippen verwerkingsverantwoordelijke en verwerker nou eigenlijk? In deze bijdrage zullen wij u daarover het een en ander duidelijk maken.

Wat is een verwerkersovereenkomst?

Allereerst is het van belang om te definiëren wat een verwerkersovereenkomst is. In een verwerkersovereenkomst worden de afspraken (verantwoordelijkheden) vastgelegd die gelden bij de verwerking van persoonsgegevens door een ander bedrijf (verwerker) dan die de persoonsgegevens heeft verzameld (verwerkingsverantwoordelijke). Het sluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkersverantwoordelijke als de verwerker.

Verwerker en verwerkingsverantwoordelijke

Indien het duidelijk is dat u een verwerkersovereenkomst nodig heeft, dan is het van belang om te bepalen welke van de twee u nu bent. Verwerker of verwerkingsverantwoorelijke? De AVG bepaalt dat de verwerkingsverantwoordelijke de organisatie is die de persoonsgegevens verzamelt, die bepaalt voor welk doel de persoonsgegevens worden verwerkt en op welke wijze dit gebeurt. De verwerker is degene die de persoonsgegevens verwerkt in opdracht van een andere organisatie, namelijk in opdracht van de verwerkingsverantwoordelijke. Hij valt niet rechtstreeks onder het gezag van die organisatie en de verwerker gebruikt de persoonsgegevens dan ook niet voor eigen doeleinden.

De verwerker moet zich volledig houden aan de instructies die de verwerkingsverantwoordelijke heeft gegeven om de persoonsgegevens te verwerken. Verwerker mag dus niet op eigen houtje de persoonsgegevens voor een ander doel gaan verwerken. De verwerkingsverantwoordelijke heeft de plicht om na te gaan of dit ook daadwerkelijk gebeurt en om deze reden is hij daarom de eindverantwoordelijke voor de verwerking van de persoonsgegevens.

Wat moet er in de verwerkersovereenkomst worden vastgelegd?

In ieder geval moeten de volgende onderwerpen worden vastgelegd:

  • welke persoonsgegevens u gaat verwerken;
  • aan welke partijen u de persoonsgegevens mag verstrekken en dat die partijen (derden) dezelfde plichten opgelegd krijgen als de verwerker;
  • op welke manier en voor welke doelen u de persoonsgegevens gaat verwerken;
  • welke beveiligingsmaatregelen u heeft genomen om de opgeslagen gegevens te beveiligen;
  • hoe aan de rechten van de betrokkene wordt voldaan, bijvoorbeeld inzage en correctie;
  • dat de verwerkingsverantwoordelijke audits mag uitvoeren (controle op de organisatie);
  • wanneer en op welke manier de gegevens weer verwijderd worden.
  • dat de verwerker ondersteunt bij het melden van eventuele datalekken;

Datalekken

Een ander belangrijk punt welke moet worden opgenomen in de verwerkersovereenkomst betreft datalekken. Er is sprake van een datalek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Het is van groot belang om een stappenplan omtrent datalekken op te nemen en wie er melding dient te maken bij de Autoriteit Persoonsgegevens.

Heeft u na het lezen van deze bijdrage kennisgenomen dat u een verwerkersovereenkomst nodig heeft? Via Zelf Doen van Young Law kunt u binnen 5 minuten eenvoudig een verwerkersovereenkomst opstellen voor een vaste prijs van €59,- ex btw.

Met handige tips en opmerkingen wordt u door het document geleid. Indien u kiest voor Maatwerk van Young Law ontvangt u de verwerkersovereenkomst geheel op maat op uw situatie. Hierbij staat persoonlijke begeleiding voorop en heeft u het document binnen 5 werkdagen. Dit voor een vaste prijs van €149,- ex btw.

Heeft u vragen over of u een verwerkersovereenkomst nodig heeft? Schroom dan niet om contact op te nemen.