BLOG

De verwerkersovereenkomst: wanneer wel, wanneer niet en wat zet je erin?

February 19, 2019

We hebben al vaker over de bewerkersovereenkomst geschreven, maar het blijft voor sommige bedrijven nog steeds lastig om te bepalen of zij wel of geen bewerkersovereenkomst moeten hebben. Daarnaast is er ook nog steeds een groot aantal bedrijven dat niet weet wat een bewerkersovereenkomst is, laat staan wat daarin moet worden vastgelegd. De bewerkersovereenkomst wordt met het van kracht worden van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 voortaan de “verwerkersovereenkomst” genoemd. 


Dit artikel is 27-10-2017 geüpdatet


Wanneer je het over persoonsgegevens hebt, is vanaf 25 mei 2018 de AVG om de hoek komen kijken. De AVG bepaalt om te beginnen niet alleen wat persoonsgegevens zijn, maar voornamelijk hoe je met deze gegevens om moet gaan en waarvoor je ze mag gebruiken. Ook de verwerkersovereenkomst wordt in de AVG behandeld.


De verwerkingsverantwoordelijke en de verwerker

Wanneer je bijvoorbeeld je personeelsadministratie uitbesteedt, dan ben jij de verwerkingsverantwoordelijke en degene aan wie je het uitbesteedt is de verwerker. In dat geval ben je verplicht een verwerkersovereenkomst aan te bieden en te zorgen dat alle daarin opgenomen regels worden nageleefd. Het afsluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke en de verwerker (de Wbp sprak van verantwoordelijke en bewerker, maar inhoudelijk zijn deze termen niet veranderd).


Laat je on-premise software installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een verwerkersovereenkomst vereist, tenzij de software extern wordt beheerd en niet binnen een eigen ICT-omgeving. Geef je als organisatie je medewerkers de mogelijkheid om met de trein te komen, dan hoef je als werkgever geen verwerkersovereenkomst af te sluiten met de NS omdat de NS zelf verwerkingsverantwoordelijke is. De NS bepaalt namelijk zelf welke doelen en middelen zij daarvoor inzet.


Is het beschermingsniveau passend voor de soort gegevens?


Wanneer je gegevens laat verwerken door een ander (in andere woorden: de verwerkingsverantwoordelijke laat gegevens verwerken door een verwerker), moet je ervoor zorgen dat de verwerking voldoende veiligheidswaarborgen heeft. Het beschermingsniveau moet hierbij in verhouding staan tot de te verwerken gegevens. Zo zullen de verwerkingen die plaatsvinden in het kader van het elektronisch patiëntendossier (EPD) een hoger beschermingsniveau nodig hebben dan verwerkingen die plaatsvinden bij het gebruik van een bonuskaart. Een vorm van passende beveiligingsmaatregelen is het pseudonimiseren of versleutelen van persoonsgegevens.


Persoonsgegevens niet verwerken voor ander doel dan opgegeven in verwerkersovereenkomst


Ook is het belangrijk te weten dat de persoonsgegevens enkel in opdracht, en volgens de aanwijzingen die zijn opgenomen in een verwerkersovereenkomst, van de verwerkingsverantwoordelijke mogen worden verwerkt. Als verwerker mag je de persoonsgegevens waar je over komt te beschikken dus niet op eigen houtje voor een heel ander doel gaan verwerken. Het is overigens de verwerkingsverantwoordelijke die moet nagaan of dit alles ook daadwerkelijk gebeurt. De verwerker is daarom ook verplicht om mee te werken aan audits ter verificatie dat hij de verwerkersovereenkomst nakomt.


Wat moet er nou in een verwerkersovereenkomst staan? In de verwerkersovereenkomst leg je onder andere vast waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker subverwerkers mag inschakelen voor de verwerking. 

 

OP READYGDPR.COM KUNT SNEL EN GEMAKKELIJK EEN VERWERKERSOVEREENKOMST OF EEN VERWERKERSREGISTER BESTELLEN.


Datalekken en teruggave bij einde overeenkomst


Een ander punt dat absoluut niet mag ontbreken is hoe partijen omgaan met datalekken. Het is van groot belang goed vast te leggen wie datalekken meldt en wie de schade die daardoor ontstaat zal vergoeden.

 

OP READYGDPR.COM KUNT U EVENEENS EEN DATALEKKENREGISTER BESTELLEN. 

 

En wat gebeurt er bij het einde van de overeenkomst? Worden de gegevens door de verwerker vernietigd of teruggestuurd? En als dat kosten met zich meebrengt, wie draait daarvoor op? Ook dat moet opgenomen worden in een verwerkersovereenkomst.


Op zoek naar een verwerkersovereenkomst op maat? Neem dan contact met ons op. Meer weten over onze privacyadviezen & -diensten?


Meer weten over persoonsgegevens en de aankomende AVG / GDPR?


OP READYGDPR.COM STAAT EEN OVERZICHT VAN DIVERSE DOCUMENTEN EN TOOLS EN EEN FAQ.

REadyGDPR-partner ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis vereist. Bij afname van beide cursussen krijgt u het handboek De Algemene Verordening Gegevensbescherming gratis. Deze trainingen zijn ook beschikbaar als PO-trainingen voor advocaten en juristen.

 

Bron: ICT Recht

 

Share on Facebook
Share on Twitter
Please reload

  • LinkedIn Link
  • Twitter Link

READYGDPR is een site van de  Ready Support Group 

Ready Support Group B.V.  |  KvK 71035095

Oude Enghweg 2

1217 JC  Hilversum

+31 35 713 09 70

 
BTW NL8585.54.707.B01  |  IBAN NL44BUNQ2206070952

copyrights 2019 Ready Support Group

Let op: dit formulier dient niet voor inschrijvingen in onze webinars. Die kunt u alleen hier boeken.