Met regelmaat komen onze klanten bij ons met vragen over een verwerkersovereenkomst. Op het moment dat onze klant een andere organisatie inschakelt om persoonsgegevens te verwerken, dan moeten afspraken worden gemaakt in een verwerkersovereenkomst. Onze klant is dan de verantwoordelijke en de andere partij is de verwerker. Andersom kan ook voorkomen: onze klant is de partij die wordt ingeschakeld om (persoons)gegevens te verwerken. Ook dan is een verwerkersovereenkomst verplicht. Wat moet u opnemen in zo’n verwerkersovereenkomst?
De verwerkersovereenkomst
Een verwerkersovereenkomst sluit rechtstreeks aan bij de doelen van de Algemene Verordening Gegevensbescherming (AVG), namelijk de verwerking van persoonsgegevens beperken tot wat strikt noodzakelijk is en daarbij een goed niveau van beveiliging bieden. Overigens zijn zowel de verantwoordelijke als de verwerker verplicht om zo’n verwerkersovereenkomst te sluiten. Die verantwoordelijkheid ligt dus niet enkel bij de verantwoordelijke (hoewel de naam wellicht anders doet vermoeden).
De AVG
De AVG somt een aantal zaken op die altijd in een verwerkersovereenkomst moet staan. Stelt u zelf een verwerkersovereenkomst op of krijgt u een verwerkersovereenkomst voorgelegd? Let dan op de volgende punten:
- De verwerkersovereenkomst bevat een algemene omschrijving van de verwerking. Denk daarom aan hoe lang de persoonsgegevens verwerkt zullen worden, met welk doel, welke soort persoonsgegevens verwerkt worden en van wie die persoonsgegevens zijn. Ook belangrijk is het opnemen van de rechten en verplichtingen van de verantwoordelijke.
- De verwerkersovereenkomst moet vermelden dat de verwerking uitsluitend plaatsvindt op basis van de schriftelijke instructies van de verantwoordelijke. Met andere woorden: het is de verwerker niet toegestaan om de persoonsgegevens voor eigen doeleinden te gaan gebruiken. Het is de verantwoordelijke die het doel en de middelen van de verwerking bepaalt.
- Uit de verwerkersovereenkomst moet blijken dat degenen die gegevens gaan verwerken, gebonden zijn aan vertrouwelijkheid en geheimhouding. Dat kan bijvoorbeeld aan werknemers van de verwerker zijn opgelegd in de arbeidsovereenkomst.
- De verwerker moet passende technische en organisatorische maatregelen nemen om de gegevens te beveiligen. Denk aan versleuteling van persoonsgegevens, twee-factor authenticatie, clean desk policy en een wachtwoordbeleid.
- Een verwerkersovereenkomst moet ook bepalen of een verwerker op haar beurt weer een andere verwerker (‘sub-verwerker’) mag inschakelen voor de gegevensverwerking. Dit kan worden uitgesloten in de verwerkersovereenkomst. Er kunnen ook voorwaarden verbonden worden aan het inschakelen van sub-verwerkers.
- Hoe zit het met het uitoefenen van privacy rechten door betrokkenen? Op grond van de AVG hebben betrokkenen, degenen van wie de gegevens worden verwerkt, bepaalde rechten. Daaronder vallen bijvoorbeeld het recht op inzage en informatie. Uit de verwerkersovereenkomst moet blijken dat de verwerker de verantwoordelijke helpt om ervoor te zorgen dat betrokkenen hun privacy rechten kunnen uitoefenen.
- Wat gebeurt er nu na afloop van de dienstverlening van de verwerker met de gegevens? Tenzij de verwerker wettelijk verplicht is om de gegevens te bewaren, verwijdert de verwerker deze gegevens. De verantwoordelijke kan ook van de verwerker verlangen dat de verwerker de gegevens terugbezorgt aan de verantwoordelijke en daarna ook verwijdert.
- De verwerker moet de verantwoordelijke ook helpen met het voldoen aan andere verplichtingen op grond van de AVG. Een hele belangrijke verplichting is het (tijdig) melden van een datalek. De verwerker moet dit melden aan de verantwoordelijke zodat de verantwoordelijke dit op haar beurt kan melden bij de Autoriteit Persoonsgegevens.
- Nog een laatste, maar heel belangrijk punt voor de praktijk: audits! Een verantwoordelijke bepaalt vaak in een verwerkersovereenkomst dat zij audits mag uitvoeren en dat de verwerker alle informatie beschikbaar moet stellen om te kunnen controleren of de verwerker zich houdt aan haar verplichtingen. Deze bepaling wordt vaak over het hoofd gezien, maar is zeker wanneer u verwerker bent, zeer belangrijk. Let er dus op dat deze bepaling niet al te ruim wordt geformuleerd en dat de verantwoordelijke niet onbeperkt audits kan (laten) uitvoeren.
Belangrijk om te weten is ook dat de AVG altijd boven de verwerkersovereenkomst staat. In tegenstelling tot diverse andere wettelijke bepalingen, is de AVG van dwingend recht. Afwijken daarvan in de verwerkersovereenkomst kan dus niet. Dat is wat ons betreft overigens ook niet nodig: de AVG is niet zo ingewikkeld en streng als velen vaak denken. Komt u er toch niet uit? We kijken graag met u mee!
Vragen? Bekijk onze vorige blogs of neem vrijblijvend contact op met één van onze privacy-specialisten.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan