In ons vorige artikel over datalekken hebben we kort uitgelegd hoe belangrijk het is dat uw organisatie zorgvuldig omgaat met persoonsgegevens. De Algemene verordening persoonsgegevens (AVG) stelt namelijk strenge regels met betrekking tot de verwerking hiervan.
Maar hoe zit dit wanneer u samenwerkt met externe partijen die toegang tot uw gegevens nodig hebben? Tijdens de begeleiding van honderden projecten rondom de AVG, merken we dat veel bedrijven moeite hebben bij het beantwoorden van deze vraag en het opstellen van de juiste verwerkersovereenkomsten.
In deze blog gaan we daarom uitgebreid in op de verwerkersovereenkomst. Wat zijn verwerkers, wat is een verwerkersovereenkomst en waar moet u op letten bij het opstellen hiervan? Lees snel verder voor uitgebreid antwoord op deze vragen.
Verwerkers en verwerkingsverantwoordelijken
De meeste organisaties maken gebruik van een flink aantal externe partijen. Denk hierbij bijvoorbeeld aan boekhouders, CRM-systemen, e-maildiensten, internet service providers (ISP) en clouddiensten.
De samenwerking met deze partijen heeft invloed op de bescherming van persoonsgegevens binnen uw bedrijf, en dus ook op de naleving van de AVG. In dit geval heeft namelijk niet alleen u, maar ook de partij waarmee u samengewerkt toegang tot de persoonsgegevens die uw bedrijf in beheer heeft.
De AVG heeft uitgebreide regels opgesteld voor zowel u (u bent in dit geval ‘verwerkingsverantwoordelijke’) als de partijen die namens u met uw persoonsgegevens werken (in dit geval ‘verwerkers’).
Bent u verwerker of verwerkingsverantwoordelijke?
Zoals hierboven beschreven, bent u in principe verwerkingsverantwoordelijke als een persoon zijn of haar gegevens direct aan uw bedrijf beschikbaar heeft gesteld. Een voorbeeld hiervan is een patiënt die een ziekenhuis toestemming geeft om medische gegevens op te slaan, een verkoper die een makelaar persoonlijke gegevens toestuurt, of gewoon een werknemer die een werkgever adresgegevens doorgeeft voor de bedrijfsadministratie.
Gaat een verwerkingsverantwoordelijke vervolgens een samenwerking aan met een partij die met deze persoonsgegevens aan de slag gaat, dan is deze partij verwerker. Een klassiek voorbeeld hiervan is een boekhouder die namens een bedrijf salarissen van werknemers uitbetaalt. Zonder toegang tot de persoonlijke gegevens van de werknemers kan de boekhouder simpelweg zijn of haar werk niet doen.
Soms is het helaas niet helemaal duidelijk wie precies de verwerkingsverantwoordelijke is en wie de verwerker. De Autoriteit Persoonsgegevens heeft daarom enkele richtlijnen opgesteld om verwarring te voorkomen.
In de meeste gevallen bent u dan ook verwerkingsverantwoordelijke als er sprake is van:
- Feitelijke invloed over het opslaan en verwerken van de gegevens.
- Uitdrukkelijke juridische bevoegdheid; er wordt in de wet gesteld dat u bevoegdheid heeft over de gegevens.
- Impliciete juridische bevoegdheid; er wordt niet in de wet gesteld dat u de bevoegdheid heeft, maar dit ligt wel voor de hand. Hierbij kan bijvoorbeeld worden gedacht aan de gegevens van werknemers.
Wat is een verwerkersovereenkomst?
De AVG legt verwerkingsverantwoordelijken en verwerkers net iets andere verplichtingen op. Echter, ze hebben één belangrijke verplichting in het gemeen: het afsluiten van een verwerkersovereenkomst.
Maar wat is een verwerkersovereenkomst nu precies?
Justitia definieert een verwerkersovereenkomst als:
“Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een derde partij inschakelt.”
Het opstellen van een verwerkersovereenkomst vergt wat tijd en uitzoekwerk, maar moet wel gebeuren. Gebeurt het namelijk niet, dan kan zowel de verwerkingsverantwoordelijke als de verwerker een boete opgelegd krijgen. De AVG legt de verantwoordelijkheid namelijk bij beide partijen neer.
De onderdelen van een verwerkersovereenkomst
De exacte invulling van de verwerkersovereenkomst laat de AVG vrij, maar er worden in artikel 28 enkele onderdelen genoemd die de overeenkomst in ieder geval moet bevatten. Het gaat hier om:
- Het onderwerp en de duur van de verwerking.
- De aard en het doel van de verwerking.
- Het soort persoonsgegevens dat wordt verwerkt.
- De personen waarvan de gegevens worden verwerkt.
- De rechten en verplichtingen van de verwerkingsverantwoordelijke.
Daarnaast moet de verwerkersovereenkomst diverse regels bevatten met betrekking tot het omgaan met de gegevens. Zo moet worden verklaard dat de verwerker vertrouwelijk om zal gaan met de gegevens en dat deze alle benodigde maatregelen zal nemen om de veiligheid hiervan te garanderen. Een onderdeel hiervan is bijvoorbeeld het veilig omgaan met datalekken.
Het opstellen van een verwerkersovereenkomst
Als verwerkingsverantwoordelijke of als verwerker kunt u in principe zelf een overeenkomst opstellen, met daarin alle vereisten die artikel 28 stelt. Echter, uit onderzoek van de Autoriteit Persoonsgegevens is gebleken dat dé verwerkersovereenkomst niet bestaat. Elke samenwerking is anders, en ook de afspraken kunnen verschillen.
Aan de hand van een analyse van de verwerkingsovereenkomsten van 31 bedrijven in de private sector, stelde de Autoriteit Persoonsgegevens in 2019 enkele handige adviezen op, die zijn te vinden in dit rapport.
Enkele voorbeelden van deze adviezen zijn:
- Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen omtrent contractmanagement en herzie de overeenkomsten periodiek.
- Maak afspraken en maatregelen concreet. Benoem bijvoorbeeld concrete bewaartermijnen of maak concreet welke beveiligingsmaatregelen u treft.
Training en consultancy
Twijfelt u of u de tijd en kennis in huis heeft om zelf uw verwerkersovereenkomsten op te stellen? Dit is heel normaal. Veel bedrijven kiezen ervoor om de hulp van een expert in te schakelen om tijd, geld en zorgen te besparen.
ComplyNow biedt twee handige oplossingen die bedrijven en organisaties helpen bij het opstellen van verwerkersovereenkomsten:
- Tijdens een training AVG gaan we uitgebreid in op de AVG in het algemeen en het correct verwerken van gegevens. Hierbij leggen we uit wat een verwerkersovereenkomst is en waar u op moet letten bij het opstellen hiervan.
Ook kunt u kiezen voor een sessie met één van onze consultants. Onder begeleiding van een AVG-expert stelt u uw eigen verwerkersovereenkomsten op, waarna u indien gewenst zelf aan de slag kunt. Ook beoordelen we bestaande overeenkomsten die u reeds gekregen heeft. In verwerkersovereenkomsten sluipen namelijk regelmatig (beveiligings)eisen waar u niet aan voldoet, of afspraken die niet voldoende zijn om aan de AVG te voldoen.
Hulp nodig?
Heeft u hulp nodig bij de naleving van de AVG? Twijfelt u of uw verwerkersovereenkomsten aan alle eisen voldoen, of heeft u hulp nodig bij het opstellen hiervan? Wij helpen u graag! Neem gerust contact met ons op via (088) 600 14 50 of [email protected] om eens kennis te maken.
Wilt u op de hoogte blijven van het laatste nieuws op het gebied van compliance? Meld u dan aan voor onze nieuwsbrief of volg ons op LinkedIn!