De Algemene Verordening Gegevensbescherming, AVG (Engels: ‘General Data Protection Regulation’ GDPR) is sinds mei 2018 van kracht. Met deze nieuwe privacywet is de Wet bescherming persoonsgegevens (Wbp) komen te vervallen. Verwerkersovereenkomst is de nieuwe benaming voor de ‘bewerkersovereenkomst’. Wanneer moeten er afspraken worden gemaakt tussen verwerkingsverantwoordelijke (Engels: ‘controller’) en verwerker (Engels: ‘processor’).

Maar eerst..

Wat is een verwerkersovereenkomst?

In een verwerkersovereenkomst (Engels: ‘data processing agreement’) worden de verantwoordelijkheden met betrekking tot de rechten en plichten die voortvloeien uit de AVG vastgelegd, in het geval een andere organisatie wordt ingeschakeld om persoonsgegevens te verwerken (Engels: ‘processing’). De verwerkersovereenkomst is een overeenkomst tussen verwerkingsverantwoordelijke en verwerker. In dit document worden afspraken gemaakt over de verwerking van persoonsgegevens.

Verwerkingsverantwoordelijke en verwerker

De verwerkingsverantwoordelijk heeft richting de Autoriteit Persoonsgegevens een verantwoordingsplicht (Engels: ‘accountability’). Dat betekent dat de organisatie moet kunnen aantonen dat ze voldoen aan de privacyregels. Het opstellen en beheren van verwerkersovereenkomsten is hier een onderdeel van. De verwerkingsverantwoordelijke stelt het doel van en de middelen voor de verwerking vast. Denk hierbij aan je eigen organisatie die persoonsgegevens (Engels: ‘personal data’) van de medewerkers bijhoudt. Wanneer je deze gegevens met een specifiek doel, bijvoorbeeld salarisadministratie, ter beschikking stelt aan een verwerker dan bent u verplicht een verwerkersovereenkomst op te stellen. De verwerkingsverantwoordelijke blijft altijd verantwoordelijk voor de persoonsgegevens.

Verwerker

Bedrijven schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld voor het uitbesteden van de salarisadministratie. Of door gebruik te maken van een arbodienst. De verwerker verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. Laatstgenoemde stelt het doel van en de middelen voor de verwerking vast.

Twee verwerkingsverantwoordelijken

Op basis van de invloed op het doel en de middelen van de verwerking kan bepaald worden wie verwerkingsverantwoordelijke en verwerker is. In het geval de andere partij de verstrekte persoonsgegevens verwerkt voor eigen doelen. Dan is deze partij ook een verwerkingsverantwoordelijke. Bovendien geldt dit ook als de andere organisatie zelf de middelen van de verwerking vaststelt. Er is geen verwerkersovereenkomst nodig tussen twee verwerkingsverantwoordelijken.

Wanneer verwerkersovereenkomst nodig?

In het geval een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker dan is een overeenkomst altijd verplicht. Bij (inter)nationale uitwisseling van persoonsgegevens tussen moederbedrijf en dochterondernemingen is dit ook een verplichting. Als er sprake is van twee verwerkingsverantwoordelijke dan is een overeenkomst niet nodig.

Verwerken kent een brede definitie en dit betekent dat er al snel sprake is van een verwerking. Het raadplegen en verstrekken van persoonsgegevens wordt ook gezien als een verwerking.

Wat moet er in een verwerkersovereenkomst staan?

In een verwerkersovereenkomst worden de volgende onderwerpen vastgelegd:

  • Algemene beschrijving

Geef een beschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.

  • Instructies verwerking

Vermeld hier de schriftelijke instructies voor verwerking.

  • Geheimhoudingsplicht

Medewerkers of derde die in dienst zijn voor de verwerker hebben geheimhoudingsplicht.

  • Beveiliging

Vermeld hier de passende technische en organisatorische maatregelen om de verwerking te beveiligen.

  • Subverwerkers

De verwerkers schakelt zonder de toestemming van de verwerkingsverantwoordelijke geen subverwerkers in. Denk hierbij aan pseudonimisering en versleutelen van persoonsgegevens.

  • Privacyrechten

Wie is verantwoordelijk als betrokkenen hun privacyrechten uitoefenen.

  • Andere verplichtingen

Meldplicht datalekken, het uitvoeren van een data protection impact assessment.

  • Gegevens verwijderen (bewaartermijn persoonsgegevens)

De verwerker verwijdert de verstrekte persoonsgegevens na beëindiging van de samenwerking.

  • Audits

De verwerker is verplicht om mee te werken aan audits van de verwerkingsverantwoordelijke of een door die organisatie aangestelde derde.

  • Aansprakelijkheid (optioneel)

Het is niet verplicht om afspraken te maken over de onderlinge aansprakelijkheid. Toch kan het in sommige gevallen verstandig zijn om dit te doen.

Neem bij vragen contact met ons op.

Wanneer verwerkersovereenkomst?