Wat is een verwerkersovereenkomst en wanneer heb je hem nodig?

Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG), die ervoor zorgt dat in de hele Europese Unie dezelfde wet- en regelgeving geldt over het verwerken van persoonsgegevens. Deze verordening bepaalt dat wanneer je een derde partij inschakelt voor de verwerking van persoonsgegevens een verwerkersovereenkomst verplicht is. Wat een verwerkersovereenkomst is en wanneer je hem precies nodig hebt, lees je hieronder. Ik bespreek deze overigens in omgekeerde volgorde omdat ik het belangrijk vind dat je weet wannéér je hem nodig hebt voordat je weet wat er in staat. Maar eerst nog even twee belangrijke begrippen die de uitleg iets makkelijker maken om te lezen.

Verwerkersverantwoordelijke De AVG stelt dat de verwerkingsverantwoordelijke de middelen en de doeleinden bepaalt waarmee persoonsgegevens worden verwerkt. Dit betekent dus dat indien jij/jouw onderneming bepaalt waarom en hoe persoonsgegevens worden verwerkt, je als verwerkingsverantwoordelijke kan worden aangemerkt.

Verwerker

Wanneer je in opdracht van een onderneming persoonsgegevens verwerkt, ben je verwerker. Let op: de persoonsgegevens die je als verwerker verwerkt, mogen niet voor eigen doeleinden worden gebruikt. Want dan ben je namelijk ook ineens verantwoordelijke omdat je dan zélf bepaalt met welk doel je gegevens verwerkt. Snap je hem nog?


Een voorbeeld: Wanneer jij bijvoorbeeld als marketeer e-mailgegevens opvraagt of verzamelt van jouw klanten omdat je hen wilt mailen over jouw diensten en vervolgens het mailen zelf uitbesteedt aan een VA, ben jij verwerkingsverantwoordelijke en de VA Verwerker. Wanneer die VA zelf e-mails naar eigen klanten stuurt, is de VA ten opzichte van die persoonsgegevens zélf verantwoordelijke.

Wannéér heb je een verwerkersovereenkomst nodig?

Goed, wanneer je dus een derde partij inschakelt voor de verwerking van persoonsgegevens heb je een verwerkersovereenkomst nodig tussen de verantwoordelijke en verwerker. Maar wat is verwerken nou eigenlijk? Verwerken Volgens de AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’ Het komt er in normaal Nederlands op neer dat feitelijk alles wat met persoonsgegevens wordt gedaan, een vorm van verwerking is. Stuur je een e-mail naar jouw klant? Verwerking van het mailadres. Bel je naar een klant? Verwerking van een telefoonnummer. Stuur je het gekochte product per post naar jouw klant? Verwerking van het adres. Besteed je de loonadministratie uit? Verwerking want je deelt hierbij de persoonsgegevens van medewerkers met een andere (externe) partij. Jij bent in zo’n geval verwerkingsverantwoordelijke en de externe partij is verwerken jullie zijn verplicht een verwerkersovereenkomst overeen te komen en hierin op te nemen hoe de verwerking van de persoonsgegevens gaat plaatsvinden volgens wet- en regelgeving (AVG).

Wat neem je op in een verwerkersovereenkomst? Ok, nu weet je wanneer een verwerkersovereenkomst moet worden opgesteld. Maar wat is een verwerkersovereenkomst nu precies en wat staat er dan in? Een verwerkersovereenkomst is dus een schriftelijke overeenkomst tussen twee partijen, de verwerkingsverantwoordelijke en de verwerker, die de verwerking van persoonsgegevens tussen deze twee partijen regelt. De verwerkersovereenkomst is altijd onderdeel van een andere overeenkomst, de hoofdovereenkomst. Als je bijvoorbeeld met freelancers werkt en met hen een overeenkomst van opdracht hebt gesloten, is de verwerkersovereenkomst onderdeel van deze overeenkomst. Wanneer de hoofdovereenkomst eindigt, eindigt de verwerkersovereenkomst ook. In de verwerkersovereenkomst wordt onder andere beschreven wat het doel van de verwerking is en welke gegevens er precies verwerkt worden. Ook neem je erin op wat dewijze van verwerking is. Wát gaat de freelancer bijvoorbeeld doen met welke gegevens? En waar slaat hij/zij deze gegevens dan op? Is dit in de cloud, in e-mail programma’s of blijft het bijvoorbeeld binnen het account van de verantwoordelijke in MailBlue staan? . Uiteraard moet je ook opnemen welke persoonsgegevens er verwerkt zullen worden en welke partijen hierbij betrokken zijn. Naast de ‘standaard’ onderdelen moet je ook aangeven welke maatregelen er worden genomen ter bescherming van de gegevens (virusscans, wachtwoorden; anyone?) en hoelang de verwerking kan en/of mag duren. Ook handig om op te nemen hoe de aansprakelijkheid is geregeld. En last but not least; datalekken. Het kan namelijk gebeuren dat er persoonsgegevens op straat komen te liggen. Denk aan een laptop die gestolen wordt, een telefoon met apps die kwijtraakt etc. Daarvoor richt je een procedure in zodat er zo snel mogelijk gehandeld kan worden richting de toezichthouder. In zo’n verwerkersovereenkomst staat eigenlijk best veel dus! IEn let op; wanneer je geen verwerkersovereenkomst opstelt terwijl dit wel noodzakelijk is, loop je het risico op een boete. Iets waar je natuurlijk niet op zit te wachten

Kortom

Op grond van de AVG is een verwerkersovereenkomst verplicht als je een derde partij inschakelt voor verwerking van persoonsgegevens. Jullie beide rechten en plichten leg je vervolgens vast in een verwerkersovereenkomst. Daarin regel je onder meer welke gegevens er verwerkt worden en hoe. Het is belangrijk goed vast te stellen wie verantwoordelijke en wie verwerker is en welke processen jullie hiervoor gebruiken.

Kom je er niet uit of wil je weten of je op de goede weg zit? Bel dan 020 2157 465 of boek een Online Advies hieronder.





Hulp nodig?