Verwerkersovereenkomst

Vanaf 25 mei treedt de Algemene Verordening Persoonsgegevens (AVG) in werking. In het Engels de General Data Protection Regulation (GDPR). Het doel van de wet is de persoonlijke informatie van consumenten beter te beschermen. Deze regelgeving zal gelden voor alle Europese bedrijven en organisaties die persoonsgegevens verwerken. Elk bedrijf of elke organisatie heeft wel klanten, personeel of leden, dus er zal geen bedrijf uitgezonderd zijn. Het verwerken van die persoonsgegevens wordt met de inwerkingtreding van de AVG aan strengere regels gebonden. Een van de vereisten is het opstellen van een verwerkersovereenkomst.

Wat is een verwerkersovereenkomst?

Wanneer u als organisatie gegevens van klanten opvraagt, dan bent u de verwerkingsverantwoordelijke. U heeft als bedrijf de persoonsgegevens verzameld en het doel van de verwerking en de middelen voor de verwerking vastgesteld.
Als u als verwerkingsverantwoordelijke een opdracht verstrekt aan een andere organisatie (een verwerker) waarbij persoonsgegevens worden verwerkt, dan dient u afspraken te maken met de verwerker over de verwerking van deze persoonsgegevens. Die afspraken moeten schriftelijk of elektronisch worden gemaakt en vastgelegd in de verwerkersovereenkomst.
Belangrijk is dat de verwerker dit niet doet onder direct gezag van de verwerkingsverantwoordelijke. Er is geen sprake van een hiërarchische verhouding zoals bij werknemers.

Persoonsgegevens

In de nieuwe wet wordt het begrip persoonsgegevens verruimd ten opzichte van de oude wet Wet Bescherming Persoonsgegevens (wbp). Het zijn alle gegevens die (direct of indirect) herleidbaar zijn tot een identificeerbare natuurlijke persoon. Behalve NAW-gegevens, een foto, een bankrekeningnummer, een audio- of video-opname kan dat ook al een IP-adres zijn.

Young-Law-Verwerkersovereenkomst

Wanneer sluit u een verwerkingsovereenkomst?

Veel bedrijven besteden diensten uit aan andere bedrijven. Denk bijvoorbeeld aan IT-diensten, een marketingbureau, de salarisadministratie, klantenservice, enzovoort. Die bedrijven hebben toegang tot en verwerken de persoonsgegevens die de verwerkingsverantwoordelijke heeft verzameld. Verwerken mag ruim worden opgevat: als een marketingbureau de webstatistieken van haar opdrachtgevers volgt, dan heeft ze ook al toegang tot IP-adressen van bezoekers van de website. Verwerken omvat: het verzamelen, bewaren, opvragen, corrigeren, wijzigen, verwijderen, raadplegen en/of afschermen van persoonsgegevens. In alle gevallen waarin een verwerker persoonsgegevens verwerkt in opdracht van een verwerkingsverantwoordelijke moet een verwerkersovereenkomst worden opgesteld.

Test verwerkingsovereenkomst?

U kunt eenvoudig vaststellen of een verwerkingsovereenkomst nodig is door de volgende vragen te beantwoorden:

  • Is er sprake van een uitbestede dienst aan een extern bedrijf dat niet direct onder mijn gezag valt?
  • Worden persoonsgegevens verwerkt om de dienst uit te voeren?

Als het antwoord op beide vragen ja is, dan is een verwerkersovereenkomst nodig. Laten we een concreet geval als voorbeeld nemen: u huurt een schoonmaakbedrijf in om uw kantoor buiten kantoortijden te laten schoonmaken. Het antwoord op de eerste vraag is ja: het is een uitbestede dienst aan een extern bedrijf. Het antwoord op de tweede vraag is nee. Er worden immers geen persoonsgegevens verwerkt. Er is dus geen verwerkersovereenkomst nodig.

Dit geldt wel als u een marketingbedrijf toegang geeft tot e-mailadressen van uw klanten voor het versturen van een direct mail. E-mailadressen zijn persoonsgegevens want ze zijn te herleiden tot een persoon. In dit geval is er wel een verwerkersovereenkomst verplicht. Als u twijfelt of een verwerkingsovereenkomst voor een specifieke situatie nodig is, dan kunt u ons dit vragen in de chatbox rechtsonder in uw scherm of via ons contactformulier.

Young-Law-Verwerkersovereenkomst

Wat moet er worden opgenomen in een verwerkingsovereenkomst?

1. De identiteit van de verwerkingsverantwoordelijke en de verwerker.
2. Welke persoonsgegevens worden verwerkt.
3. Het doel waarmee de persoonsgegevens worden verwerkt; alleen dat waarvoor de verantwoordelijke opdracht heeft gegeven.
4. Welke beveiligingsmaatregelen zijn genomen om de gegevens te beschermen; de verwerker moet de maatregelen nakomen die de verantwoordelijke stelt.
5. Het vastleggen en melden van een datalek. De wet legt de verantwoordelijkheid hiervoor ook weer bij de verantwoordelijke, maar de verwerker moet het opvolgen.

Dit zijn de hoofdlijnen. Daarnaast moeten ook worden vastgelegd: de duur van de overeenkomst, omgang met data bij beëindiging, eventuele audits die de verwerkingsverantwoordelijke uitvoert of kan uitvoeren bij de verwerker en (eventueel) categorieën van betrokkenen.

Wat gebeurt er als ik geen verwerkingsovereenkomst heb?

Het hebben van een verwerkingsovereenkomst is vanaf 25 mei verplicht. Als u niet aan de AVG voldoet, heeft u kans op aanzienlijke boetes. Behalve deze boetes is het goed om afspraken over verwerking van uw klantgegevens vast te leggen. Zo weet u dat uw opdrachtnemers secuur omgaan met de gegevens van uw klanten.

Young-Law-Verwerkersovereenkomst

Verwerkersovereenkomst op maat

Young Law biedt de mogelijkheid om een verwerkersovereenkomst op maat voor uw bedrijf op te stellen. U ontvangt:

  • een document dat voldoet aan de nieuwe AVG wetgeving;
  • geschreven in duidelijke en begrijpbare taal, zoals de nieuwe wet voorschrijft;
  • op maat gemaakt voor een aanzienlijk lager bedrag dan u bij andere juridische dienstverleners betaalt.

Wilt u meer weten? Bel ons gerust en wij helpen u met de perfecte oplossing.

Bel: 085 065 47 37 of Chat: hier