Wanneer je om versterking van het verwerken van persoonsgegevens aan een andere organisatie vraagt betekent dit niet automatisch dat zij jouw verwerker zijn.
Met een verwerkersovereenkomst sluit je als verwerking verantwoordelijke uit dat deze organisatie jouw persoonsgegevens voor eigen doelen mag verwerken.
Een verwerkersovereenkomst is een contractuele overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker, waarbij de verwerker persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke. Dit kan bijvoorbeeld gebeuren bij het uitbesteden van bepaalde bedrijfsprocessen, zoals de salarisadministratie of de klantenservice. In dit artikel zullen we uitgebreid ingaan op het belang van een verwerkersovereenkomst en wat er allemaal in zo’n overeenkomst moet staan.
Het belang van een verwerkersovereenkomst
Het verwerken van persoonsgegevens is tegenwoordig aan strikte regels gebonden. Zo is er de Algemene Verordening Gegevensbescherming (AVG), die in mei 2018 in werking is getreden. Deze wet stelt eisen aan de manier waarop persoonsgegevens worden verwerkt en beschermd. Als een bedrijf persoonsgegevens laat verwerken door een externe partij, is het verplicht om een verwerkersovereenkomst af te sluiten. Dit geldt zowel voor bedrijven die persoonsgegevens verwerken als voor bedrijven die deze gegevens laten verwerken.
Een verwerkersovereenkomst is belangrijk om een aantal redenen. Ten eerste zorgt het ervoor dat de verwerkingsverantwoordelijke zijn verantwoordelijkheden kan nakomen. De verwerkingsverantwoordelijke blijft namelijk verantwoordelijk voor de persoonsgegevens, ook als deze worden verwerkt door een externe partij. Door middel van de verwerkersovereenkomst kan de verwerkingsverantwoordelijke ervoor zorgen dat de verwerker aan dezelfde eisen voldoet als hijzelf.
Ten tweede kan een verwerkersovereenkomst helpen om de risico’s van het verwerken van persoonsgegevens te beperken. De verwerkersovereenkomst kan bijvoorbeeld afspraken bevatten over de beveiliging van de persoonsgegevens, de melding van datalekken en de vernietiging van de gegevens na afloop van de overeenkomst. Op deze manier kan de verwerkingsverantwoordelijke erop vertrouwen dat de persoonsgegevens op een veilige en verantwoorde manier worden verwerkt.
Ten derde kan een verwerkersovereenkomst helpen om de samenwerking tussen de verwerkingsverantwoordelijke en de verwerker te verbeteren. In de verwerkersovereenkomst kunnen afspraken worden gemaakt over de taken en verantwoordelijkheden van beide partijen, de manier waarop er gecommuniceerd wordt en de manier waarop er wordt omgegaan met eventuele geschillen.
Wat staat er in een verwerkersovereenkomst?
Een verwerkersovereenkomst moet voldoen aan de eisen die worden gesteld in de AVG. Zo moet de verwerkersovereenkomst schriftelijk worden vastgelegd en moet deze een aantal verplichte elementen bevatten. Hieronder bespreken we deze elementen.
Identiteit van de partijen
In de verwerkersovereenkomst moeten de partijen die de overeenkomst sluiten duidelijk worden geïdentificeerd. Hierbij gaat het om de verwerkingsverantwoordelijke en de verwerker. Het is belangrijk dat de volledige naam en adresgegevens van beide partijen worden vermeld, zodat duidelijk is wie de overeenkomst heeft gesloten.
Doel en aard van de verwerking
In de verwerkersovereenkomst moet duidelijk worden beschreven wat het doel is van de verwerking van persoonsgegevens en wat de aard van deze verwerking is. Hierbij kan bijvoorbeeld worden gedacht aan het verwerken van persoonsgegevens voor de salarisadministratie of voor het versturen van nieuwsbrieven.
Soorten persoonsgegevens
In de verwerkersovereenkomst moet worden beschreven welke soorten persoonsgegevens worden verwerkt. Hierbij gaat het om gegevens zoals naam, adres, geboortedatum, e-mailadres en telefoonnummer. Het is belangrijk dat alleen de persoonsgegevens worden verwerkt die nodig zijn voor het doel van de verwerking.
Duur van de verwerking
In de verwerkersovereenkomst moet worden beschreven hoelang de persoonsgegevens worden bewaard. Hierbij kan bijvoorbeeld worden gedacht aan het bewaren van de gegevens gedurende de looptijd van de overeenkomst of voor een bepaalde periode na afloop van de overeenkomst.
Verplichtingen van de verwerker
De verwerkersovereenkomst moet duidelijk maken wat de verplichtingen zijn van de verwerker. Hierbij gaat het bijvoorbeeld om de verplichting om de persoonsgegevens op een veilige manier te verwerken, om datalekken te melden en om de persoonsgegevens na afloop van de overeenkomst te vernietigen.
Verplichtingen van de verwerkingsverantwoordelijke
Ook de verplichtingen van de verwerkingsverantwoordelijke moeten worden beschreven in de verwerkersovereenkomst. Hierbij gaat het bijvoorbeeld om de verplichting om alleen de persoonsgegevens te verstrekken die nodig zijn voor het doel van de verwerking en om de verwerker op de hoogte te houden van eventuele wijzigingen in de persoonsgegevens.
Subverwerkers
Als de verwerker gebruikmaakt van subverwerkers, moet dit ook worden beschreven in de verwerkersovereenkomst. Hierbij gaat het bijvoorbeeld om het uitbesteden van de salarisadministratie aan een derde partij. De verwerker blijft verantwoordelijk voor de verwerking van de persoonsgegevens, ook als deze worden verwerkt door een sub verwerker.
Beveiliging van de persoonsgegevens
In de verwerkersovereenkomst moeten afspraken worden gemaakt over de beveiliging van de persoonsgegevens. Hierbij gaat het bijvoorbeeld om de maatregelen die worden genomen om de persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies of diefstal.
Audit en controle
Het is belangrijk dat de verwerkingsverantwoordelijke de mogelijkheid heeft om de verwerker te controleren op de naleving van de verwerkersovereenkomst. In de overeenkomst moeten daarom afspraken worden gemaakt over audits en controle op de verwerking van persoonsgegevens.
Datalekken en meldplicht
Als er een datalek optreedt, is de verwerker verplicht om dit te melden aan de verwerkingsverantwoordelijke. In de verwerkersovereenkomst moeten afspraken worden gemaakt over de meldplicht bij datalekken en over de manier waarop deze melding moet plaatsvinden.
Geheimhouding
Het is belangrijk dat de verwerker de persoonsgegevens vertrouwelijk behandelt. In de verwerkersovereenkomst moeten daarom afspraken worden gemaakt over geheimhouding en over de verplichting van de verwerker om de persoonsgegevens niet te delen met derden zonder toestemming van de verwerkingsverantwoordelijke.
Beëindiging van de overeenkomst
Als de overeenkomst wordt beëindigd, moeten de persoonsgegevens worden vernietigd of teruggegeven aan de verwerkingsverantwoordelijke. In de verwerkersovereenkomst moeten afspraken worden gemaakt over de manier waarop dit moet gebeuren.
Aansprakelijkheid
Als er iets misgaat met de verwerking van persoonsgegevens, is de verwerker daarvoor aansprakelijk. In de verwerkersovereenkomst moeten daarom afspraken worden gemaakt over de aansprakelijkheid van de verwerker en over de manier waarop eventuele schade wordt vergoed.
Toepasselijk recht en geschillenbeslechting
In de verwerkersovereenkomst moeten afspraken worden gemaakt over het toepasselijk recht en de geschillenbeslechting. Hierbij gaat het bijvoorbeeld om de vraag welk recht van toepassing is op de overeenkomst en op welke manier geschillen worden opgelost.
Conclusie
Een verwerkersovereenkomst is een belangrijk document dat ervoor zorgt dat de verwerking van persoonsgegevens op een veilige en verantwoorde manier gebeurt. In de overeenkomst worden afspraken gemaakt tussen de verwerkingsverantwoordelijke en de verwerker over onder andere de doelstellingen van de verwerking, de soorten persoonsgegevens die worden verwerkt, de beveiliging van de persoonsgegevens en de aansprakelijkheid van de verwerker.
Het is belangrijk dat de verwerkersovereenkomst zorgvuldig wordt opgesteld en dat alle afspraken duidelijk worden geformuleerd. Daarnaast moet de overeenkomst regelmatig worden gecontroleerd en indien nodig worden aangepast aan veranderingen in de wet- en regelgeving of aan veranderingen in de organisatie.
Als aan alle voorwaarden van de verwerkersovereenkomst wordt voldaan, kan de verwerking van persoonsgegevens op een verantwoorde manier plaatsvinden. Het niet naleven van de afspraken in de verwerkersovereenkomst kan leiden tot boetes en reputatieschade voor zowel de verwerkingverantwoordelijke als de verwerker.
Het is daarom van groot belang dat organisaties die persoonsgegevens verwerken zich bewust zijn van hun verplichtingen op het gebied van gegevensbescherming en dat zij zorgvuldig omgaan met de persoonsgegevens van hun klanten, medewerkers en andere betrokkenen. Het opstellen en naleven van een goede verwerkersovereenkomst kan hierbij helpen.
Tot slot is het belangrijk om op te merken dat de AVG ook specifieke vereisten stelt aan de verwerking van bijzondere categorieën van persoonsgegevens, zoals gezondheidsgegevens en strafrechtelijke gegevens. Voor de verwerking van deze gegevens is in veel gevallen een aparte overeenkomst nodig, waarin specifieke afspraken worden gemaakt over de verwerking van deze gegevens en de beveiliging ervan.
In het kort is een verwerkersovereenkomst dus een document waarin afspraken worden gemaakt tussen de verwerkingsverantwoordelijke en de verwerker over de verwerking van persoonsgegevens. De overeenkomst moet voldoen aan de vereisten van de AVG en moet onder andere afspraken bevatten over de doelstellingen van de verwerking, de soorten persoonsgegevens die worden verwerkt, de beveiliging van de persoonsgegevens, de meldplicht bij datalekken en de aansprakelijkheid van de verwerker. Een goede verwerkersovereenkomst kan bijdragen aan een veilige en verantwoorde verwerking van persoonsgegevens en kan boetes en reputatieschade voorkomen.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een schriftelijke overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens waarin de voorwaarden en verantwoordelijkheden van de verwerking van persoonsgegevens worden vastgelegd.
Wie moet een verwerkersovereenkomst hebben?
Elke verwerkingsverantwoordelijke die persoonsgegevens verwerkt met behulp van een derde partij, moet een verwerkersovereenkomst hebben. Dit omvat bijvoorbeeld bedrijven die gebruik maken van een externe IT-dienstverlener om persoonsgegevens te verwerken.
Wat moet er in een verwerkersovereenkomst staan?
Een verwerkersovereenkomst moet informatie bevatten over de aard en het doel van de verwerking van persoonsgegevens, de duur van de verwerking, de rechten en plichten van de verwerkingsverantwoordelijke en de verwerker, en hoe de persoonsgegevens worden beveiligd. Daarnaast moet de verwerkersovereenkomst voldoen aan de eisen van de AVG.
Wat zijn de gevolgen van het niet hebben van een verwerkersovereenkomst?
Als een verwerkingsverantwoordelijke persoonsgegevens verwerkt met behulp van een derde partij zonder een verwerkersovereenkomst te hebben, kan dit leiden tot boetes en andere sancties van de Autoriteit Persoonsgegevens. Daarnaast kan het schenden van de privacy van individuen resulteren in reputatieschade en verlies van klanten.
Moet een verwerkersovereenkomst worden vernieuwd?
Een verwerkersovereenkomst moet worden vernieuwd wanneer er wijzigingen zijn in de verwerking van persoonsgegevens of wanneer de AVG vereist dat de overeenkomst wordt vernieuwd. Het is ook aan te raden om de verwerkersovereenkomst regelmatig te beoordelen en indien nodig bij te werken.