Verwerkersovereenkomst nodig of toch niet?

door | 7 november 2018

Misschien heb je net als veel anderen ons gebeld met vragen over de zogenaamde verwerkersovereenkomst.

Misschien ook niet en vraag je je nu af: Dat heet toch bewerkersovereenkomst? En wat is dan het verschil?

Er is geen verschil. In de thans nog geldende Wet bescherming persoonsgegevens van 6 juli 2000, werd gesproken over “bewerker”. In de huidige AVG is de term vervangen door “verwerker”.

Dan komen we op de volgende vraag en dat is: moet je voor iedere verwerker een aparte overeenkomst afsluiten?

Het is overigens niet verplicht om een verwerkersovereenkomst af te sluiten, maar volgens de AVG ben je wel verplicht schriftelijke afspraken te maken, wanneer je als organisatie gebruik maakt van een verwerker die voor jouw organisatie op enigerlei wijze persoonsgegevens verwerkt. Je bent vrij om te kiezen in welke schriftelijke vorm dit wordt gedaan. Dat kan dus een e-mail zijn, maar ook door bijvoorbeeld een tekst op te nemen in de opdrachtbevestiging. Dit kan op het eerste oog snel en efficiënt zijn, maar het venijn zit vaak in de staart. Wat eerst lekker handig bleek, blijkt dan toch niet effectief te zijn of juridisch dekkend.

Kan dan misschien de door de overheid ter beschikking gestelde verwerkersovereenkomst gebruikt worden? Lijkt op het eerste oog ook weer heel handig en efficiënt. Juridisch dekkend en dan even aanpassen aan je eigen specifieke situatie en organisatie en klaar is kees. Of dit toekomstbestendig is, is maar de vraag. Het komt toch vaak neer op veel knip- en plakwerk. Wij adviseren je hier zeer zorgvuldig mee om te gaan. Je kunt deze verwerkersovereenkomst van de overheid als Wordversie downloaden via de button onderaan de blog.

De Autoriteit Persoonsgegevens (AP) heeft wel richtlijnen gegeven voor een verwerkersovereenkomst. In een verwerkersovereenkomst dienen tenminste de volgende zaken te worden vermeld:

  1. het onderwerp en de duur van de verwerking
  2. de aard en het doel van de verwerking
  3. het soort persoonsgegevens en de categorieën van betrokkenen
  4. de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Verder dient in de verwerkersovereenkomst te worden bepaald dat de verwerker:

  1. de persoonsgegevens alleen verwerkt onder de schriftelijke instructies van de verwerkingsverantwoordelijke, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht).
  2. waarborgt dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting.
  3. minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als de verwerkingsverantwoordelijke.
  4. de verwerkingsverantwoordelijke alle mogelijke ondersteuning biedt bij het nakomen van diens verplichtingen met het oog op de beantwoording van verzoeken rondom de rechten van betrokkenen.
  5. de verwerkingsverantwoordelijke bijstaat bij het nakomen van diens verplichtingen op het gebied van de beveiliging van persoonsgegevens en de meldplicht datalekken.
  6. na beëindiging van de overeenkomst de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens wist of teruggeeft, en bestaande kopieën verwijdert.
  7. de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken.
  8. afspraken met betrekking tot sub-verwerkers maakt.

Mocht u na het lezen nog vragen hebben, neem contact met ons op. Bel ons op 085 130 1281 of kijk op onze website www.intechrity.nl. Wij zijn officieel ACP partner van BSI.