Wat is een verwerkersovereenkomst?

Hiermee regel je dat die derde partij zorgvuldig met de persoonsgegevens omspringt. En zich bovendien netjes houdt aan de afspraken die jij met de betrokkenen daarover gemaakt hebt.

Lees meer

Iedere organisatie die persoonsgegevens verwerkt, moet zich houden aan de privacywetgeving. Maar wat als je die verwerking geheel of gedeeltelijk wilt uitbesteden aan een derde partij? Dat gebeurt in de praktijk regelmatig. Denk aan het payrollkantoor dat salarissen uitkeert, of een boekhoudkantoor dat de financiële administratie voor derden doet. Ook wanneer je gegevens bewaart in de cloud, dan besteed je de verwerking uit aan een derde partij: de cloud provider.

Dat uitbesteden van de verwerking mag natuurlijk niet ten koste gaan van de afspraken die je met de betrokkene van de persoonsgegevens hebt gemaakt. Dat is precies wat een verwerkersovereenkomst moet afdwingen. Hiermee regel je dat die derde partij zorgvuldig met de persoonsgegevens omspringt. En zich bovendien netjes houdt aan de afspraken die jij met de betrokkenen daarover gemaakt hebt.

Welke partijen zijn betrokken bij een verwerkersovereenkomst?

Een verwerkersovereenkomst is een contract ondertekend door twee partijen:

  1. De verantwoordelijke: Dit is de organisatie die verantwoordelijk wordt gehouden voor wat er met de persoonsgegevens gebeurt.

  2. De verwerker: De verwerker is de ‘derde partij’ die een deel of de gehele verwerking uit handen neemt van de verantwoordelijke.

Is een verwerkersovereenkomst altijd verplicht?

Een verwerkersovereenkomst is alleen van toepassing wanneer de verantwoordelijke persoonsgegevens bij een externe partij, de verwerker, laat verwerken. Is dat het geval, dan moet deze externe partij een door de verantwoordelijke partij opgestelde verwerkersovereenkomst ondertekenen. (Niet andersom, zie punt ‘Mijn verwerker heeft een verwerkersovereenkomst opgesteld. Kan dat?’)

Wat moet een verwerkersovereenkomst bevatten?

De verwerkersovereenkomst bevat doorgaans de volgende elementen:

– Het doel van de verwerking

De verwerkersovereenkomst moet inzichtelijk maken welk doel de verwerking van de persoonsgegevens heeft.

– Manier/methode van verwerking

De verantwoordelijke partij (dus niet de verwerkende partij) moet duidelijk formuleren op welke manier de verwerking moet plaatsvinden. Op die manier wordt voorkomen dat een externe partij de persoonsgegevens op een manier gaat verwerken die niet met de betrokkenen is afgesproken.

– Geheimhouding

De verwerker moet de gevoelige data die zij onder ogen krijgt uiteraard geheimhouden. De verwerkersovereenkomst bevat daarom doorgaans een geheimhoudingsverklaring. Daarmee verklaart de verwerkende partij de gegevens niet openbaar te maken of aan anderen te verstrekken.

– Afspraken over eventuele onderaannemers

Soms komt het voor dat een externe verwerker een deel van de activiteiten weer uitbesteed aan een andere partij. Is dat het geval, dan moeten ook daar duidelijke afspraken over worden gemaakt.

– Securitymaatregelen

De verantwoordelijke partij spreekt met de verwerkende partij af welke beveiligingsmaatregelen de laatstgenoemde maakt. Zo verzekert de verantwoordelijke paritj zich ervan dat de persoonsgegevens niet door nalatigheid op het gebied van security in verkeerde handen terechtkomen.

– Duur van de verwerking

De verwerkersovereenkomst moet duidelijkheid verschaffen over de duur van de verwerking. Met andere woorden: wanneer is de verwerking niet meer nodig en moet de externe partij hiermee stoppen en de persoonsgegevens wissen?

Wat is het verschil met een bewerkersovereenkomst?

Niets. Sinds de introductie van de GDPR/AVG spreken we niet meer van ‘bewerkers’ maar ‘verwerkers’. Daarmee is ook de bewerkersovereenkomst veranderd in een verwerkersovereenkomst. Het is simpelweg een verandering van terminologie, maar de inhoud en bedoeling van het document zijn daarmee niet gewijzigd.

Wat is het verschil met een Data Procession Agreement?

Niets. Het internationale begrip voor een verwerkersovereenkomst luidt ‘Data Procession Agreement’ (DPA). Dit betekent dus hetzelfde.

Mijn verwerker heeft een verwerkersovereenkomst opgesteld. Kan dat?

Hoewel dit in de praktijk vaak voorkomt, is dit niet de bedoeling. U wilt immers als verantwoordelijke voor de persoonsgegevens zelf controle houden over de manier waarop de verwerker met de data omspringt. Een verwerker heeft dat niet zelf te bepalen. De verantwoordelijke partij is immers degene die verantwoording moet afleggen richting de betrokkenen.

Welke invloed heeft de AVG/GDPR op de verwerkersovereenkomst?

Onder de AVG/GDPR is het erg belangrijk dat gegevens alleen verwerkt worden voor een vooraf bepaald, door de betrokkene goedgekeurd doel. De verwerkersovereenkomst moet daarom extra nadruk hierop leggen en deze afspraak met de betrokkene verankeren. De overeenkomst moet verzekeren dat externe partijen de gegevens enkel en alleen verwerken voor het gespecificeerde doel.

Onder de AVG/GDPR geldt bovendien een verwijderingsplicht. Wanneer de persoonsgegevens niet meer nuttig zijn voor het beoogde doel, dan moeten deze worden verwijderd. Ook hierover moeten goede afspraken worden gemaakt in de verwerkersovereenkomst.

Ik heb geen verwerkersovereenkomst afgesloten, maar laat wel persoonsgegevens verwerken door een derde partij. Wat zijn de consequenties?

Zonder verwerkersovereenkomst heeft u geen grip op de manier waarop een externe partij data verwerkt waarvoor u verantwoordelijk bent. U bent hiermee mogelijk in overtreding met de privacywetgeving. Het is verstandig alsnog een verwerkersovereenkomst op te stellen.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer
Wat is recht op vergetelheid?

Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.

Share This