Verwerkersovereenkomst, heb ik deze nu wel echt nodig?

door | 7 november 2018

De term verwerkersovereenkomst wordt nu steeds vaker genoemd. De vraag is in welke situaties moet u deze nu hebben?

Wanneer een organisatie het verwerken van persoonsgegevens uitbesteedt, moeten er volgens de AVG schriftelijk afspraken worden gemaakt. Persoonsgegevens zijn die gegevens die herleidbaar zijn naar een persoon. Bij uitbesteding zijn u en de verwerker verplicht om een aantal zaken schriftelijk vast te leggen (zie artikel 28, lid 3 van de AVG). Voorbeelden van uitbestede werkzaamheden zijn: salarisadministratie, als het facturatieproces is uitbesteed, outsourcen van het geautomatiseerd systeem etc. Het is relevant om niet alleen te kijken of u de verwerker bent maar ook wie verwerkt nu eigenlijk gegevens voor onze organisatie. Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een ‘verwerkersovereenkomst’ afsluiten.

Het doel van een verwerkersovereenkomst is te waarborgen dat de verplichtingen die vanuit de AVG op de verwerkingsverantwoordelijke rusten, ook door de verwerker worden nageleefd. Daartoe dienen in de verwerkersovereenkomst afspraken en maatregelen te staan die de verwerkingsverantwoordelijke genomen wil hebben door de verwerker. Belangrijk is dat volgens de AVG de verwerkingsverantwoordelijke aanspreekbaar blijft voor de gegevens die onder zijn verantwoordelijkheid door de verwerker worden verwerkt.

In een verwerkersovereenkomst dienen minimaal de volgende punten opgenomen te worden, waarbij de punten bij “algemene beschrijving” vereisten zijn die minimaal opgenomen dienen te worden.

  • Algemene beschrijving: Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen.
  • Instructies verwerking: De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies.
  • Geheimhoudingsplicht: Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
  • Beveiliging: Welke procedures zijn er minimaal nodig om de veiligheid van de data te waarborgen.
  • Andere verplichtingen: De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assissment (DPIA) en bij een voorafgaande raadpleging.
  • Gegevens verwijderen: Er is het recht om vergeten te worden, geef aan welke acties hiervoor genomen moeten worden.
  • Audits: De verwerker werkt mee aan uw audits of die van een derde partij. Maak ook gelijk afspraken wie de kosten van de audit voor zijn rekening neemt.

Om alles wat concreter te maken kunt u onderstaand een Word-bestand downloaden van een verwerkersovereenkomst zoals deze bij de overheid wordt gebruikt. Het bestand kunt u als richtlijn hanteren of aanpassen voor eigen gebruik. Van belang is dat deze wel specifiek gemaakt dient te worden voor de situatie waarvoor u de overeenkomst wil gebruiken. Kijk goed naar uw eigen situatie en vul daarmee bovenstaande punten aan.