Hiermee regel je dat die derde partij zorgvuldig met de persoonsgegevens omspringt. En zich bovendien netjes houdt aan de afspraken die jij met de betrokkenen daarover gemaakt hebt.
Iedere organisatie die persoonsgegevens verwerkt, moet zich houden aan de privacywetgeving. Maar wat als je die verwerking geheel of gedeeltelijk wilt uitbesteden aan een derde partij? Dat gebeurt in de praktijk regelmatig. Denk aan het payrollkantoor dat salarissen uitkeert, of een boekhoudkantoor dat de financiële administratie voor derden doet. Ook wanneer je gegevens bewaart in de cloud, dan besteed je de verwerking uit aan een derde partij: de cloud provider.
Dat uitbesteden van de verwerking mag natuurlijk niet ten koste gaan van de afspraken die je met de betrokkene van de persoonsgegevens hebt gemaakt. Dat is precies wat een verwerkersovereenkomst moet afdwingen. Hiermee regel je dat die derde partij zorgvuldig met de persoonsgegevens omspringt. En zich bovendien netjes houdt aan de afspraken die jij met de betrokkenen daarover gemaakt hebt.
Welke partijen zijn betrokken bij een verwerkersovereenkomst?
Een verwerkersovereenkomst is een contract ondertekend door twee partijen:
- De verantwoordelijke: Dit is de organisatie die verantwoordelijk wordt gehouden voor wat er met de persoonsgegevens gebeurt.
- De verwerker: De verwerker is de ‘derde partij’ die een deel of de gehele verwerking uit handen neemt van de verantwoordelijke.
Is een verwerkersovereenkomst altijd verplicht?
Een verwerkersovereenkomst is alleen van toepassing wanneer de verantwoordelijke persoonsgegevens bij een externe partij, de verwerker, laat verwerken. Is dat het geval, dan moet deze externe partij een door de verantwoordelijke partij opgestelde verwerkersovereenkomst ondertekenen. (Niet andersom, zie punt ‘Mijn verwerker heeft een verwerkersovereenkomst opgesteld. Kan dat?’)
Wat moet een verwerkersovereenkomst bevatten?
De verwerkersovereenkomst bevat doorgaans de volgende elementen:
– Het doel van de verwerking
De verwerkersovereenkomst moet inzichtelijk maken welk doel de verwerking van de persoonsgegevens heeft.
– Manier/methode van verwerking
De verantwoordelijke partij (dus niet de verwerkende partij) moet duidelijk formuleren op welke manier de verwerking moet plaatsvinden. Op die manier wordt voorkomen dat een externe partij de persoonsgegevens op een manier gaat verwerken die niet met de betrokkenen is afgesproken.
– Geheimhouding
De verwerker moet de gevoelige data die zij onder ogen krijgt uiteraard geheimhouden. De verwerkersovereenkomst bevat daarom doorgaans een geheimhoudingsverklaring. Daarmee verklaart de verwerkende partij de gegevens niet openbaar te maken of aan anderen te verstrekken.
– Afspraken over eventuele onderaannemers
Soms komt het voor dat een externe verwerker een deel van de activiteiten weer uitbesteed aan een andere partij. Is dat het geval, dan moeten ook daar duidelijke afspraken over worden gemaakt.
– Securitymaatregelen
De verantwoordelijke partij spreekt met de verwerkende partij af welke beveiligingsmaatregelen de laatstgenoemde maakt. Zo verzekert de verantwoordelijke paritj zich ervan dat de persoonsgegevens niet door nalatigheid op het gebied van security in verkeerde handen terechtkomen.
– Duur van de verwerking
De verwerkersovereenkomst moet duidelijkheid verschaffen over de duur van de verwerking. Met andere woorden: wanneer is de verwerking niet meer nodig en moet de externe partij hiermee stoppen en de persoonsgegevens wissen?
Wat is het verschil met een bewerkersovereenkomst?
Niets. Sinds de introductie van de GDPR/AVG spreken we niet meer van ‘bewerkers’ maar ‘verwerkers’. Daarmee is ook de bewerkersovereenkomst veranderd in een verwerkersovereenkomst. Het is simpelweg een verandering van terminologie, maar de inhoud en bedoeling van het document zijn daarmee niet gewijzigd.
Wat is het verschil met een Data Procession Agreement?
Niets. Het internationale begrip voor een verwerkersovereenkomst luidt ‘Data Procession Agreement’ (DPA). Dit betekent dus hetzelfde.
Mijn verwerker heeft een verwerkersovereenkomst opgesteld. Kan dat?
Hoewel dit in de praktijk vaak voorkomt, is dit niet de bedoeling. U wilt immers als verantwoordelijke voor de persoonsgegevens zelf controle houden over de manier waarop de verwerker met de data omspringt. Een verwerker heeft dat niet zelf te bepalen. De verantwoordelijke partij is immers degene die verantwoording moet afleggen richting de betrokkenen.
Welke invloed heeft de AVG/GDPR op de verwerkersovereenkomst?
Onder de AVG/GDPR is het erg belangrijk dat gegevens alleen verwerkt worden voor een vooraf bepaald, door de betrokkene goedgekeurd doel. De verwerkersovereenkomst moet daarom extra nadruk hierop leggen en deze afspraak met de betrokkene verankeren. De overeenkomst moet verzekeren dat externe partijen de gegevens enkel en alleen verwerken voor het gespecificeerde doel.
Onder de AVG/GDPR geldt bovendien een verwijderingsplicht. Wanneer de persoonsgegevens niet meer nuttig zijn voor het beoogde doel, dan moeten deze worden verwijderd. Ook hierover moeten goede afspraken worden gemaakt in de verwerkersovereenkomst.
Ik heb geen verwerkersovereenkomst afgesloten, maar laat wel persoonsgegevens verwerken door een derde partij. Wat zijn de consequenties?
Zonder verwerkersovereenkomst heeft u geen grip op de manier waarop een externe partij data verwerkt waarvoor u verantwoordelijk bent. U bent hiermee mogelijk in overtreding met de privacywetgeving. Het is verstandig alsnog een verwerkersovereenkomst op te stellen.
Alle berichten