AVG: wat leg je vast in een verwerkersovereenkomst?

Bron: SRA

Maak je voor de verwerking van persoonsgegevens binnen jouw bedrijf – bijvoorbeeld gegevens van klanten of medewerkers - gebruik van diensten van leveranciers die ook toegang hebben tot deze gegevens?

Dan mag je uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen. En bij wie bovendien de bescherming van de rechten van individuen is geborgd.

Verwerker

Denk hierbij aan leveranciers voor jouw webshop of salarisadministratie. Deze leveranciers worden in het kader van de AVG ‘verwerker’ genoemd. De afspraken met verwerkers over de verwerking van persoonsgegevens moet je vastleggen in:

  1. een verwerkersovereenkomst;
  2. of in andere bindende afspraken.

Dit wil zeggen dat je zelf mag bepalen hoe je de afspraken vastlegt, mits het jou en de leverancier maar bindt. Zo kun je afspraken en voorwaarden bijvoorbeeld ook vastleggen in een paragraaf bij jouw dienstverleningsovereenkomst of opnemen in jouw algemene voorwaarden.

Let op: voorwaarde is dat de vastlegging van afspraken en voorwaarden in schriftelijke of in digitale vorm gebeurt.

Verwerken is een breed begrip. Volgens de AVG gaat het onder andere om: het opslaan, wijzigen, raadplegen, doorzenden, verzamelen, opvragen en vernietigen van persoonsgegevens. Samengevat: alles wat je met persoonsgegevens kunt doen.

Wat moet er worden vastgelegd in een verwerkersovereenkomst?

De volgende onderdelen moeten op basis van de AVG minimaal worden vastgelegd:

1. Verwerkingsverantwoordelijke en verwerker

Duidelijk moet zijn dat jouw bedrijf verwerkingsverantwoordelijke is voor de persoonsgegevens en de ingeschakelde leverancier verwerker.

2. Instructies

De verwerker verwerkt de persoonsgegevens alleen op basis van jouw (schriftelijke) instructies, met het doel uitvoering te geven aan de dienstverleningsovereenkomst, tenzij verwerking verplicht is op basis van een wettelijk voorschrift.

3. Categorieën persoonsgegevens

De verwerker verwerkt alleen die persoonsgegevens die vereist zijn om de opdracht uit te kunnen voeren. Daaronder vallen bijvoorbeeld naam, adres, telefoonnummer, e-mailadres van consument of medewerker. De categorieën van persoonsgegevens die verwerkt worden, worden opgenomen in een bijlage bij de verwerkersovereenkomst.

4. Geheimhouding

De verwerker is verplicht tot geheimhouding van de persoonsgegevens die hij van jou ontvangt, tenzij een wettelijk voorschrift de verwerker tot mededelen verplicht. Verwerker waarborgt dat de degenen die onder zijn gezag persoonsgegevens verwerken, gebonden zijn aan geheimhouding. Dit geldt dus ook voor de door de verwerker ingeschakelde onderaannemers (zie hieronder bij sub-verwerkers).

5. Technische en organisatorische (beveiligings)maatregelen

De verwerker moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zorgen voor een adequaat niveau van bescherming. De door verwerker genomen beveiligingsmaatregelen worden omschreven in een bijlage bij de verwerkersovereenkomst of afzonderlijk vermeld op bijvoorbeeld de website van het bedrijf.

6. Privacyrechten betrokkenen

De verwerker zal alle medewerking verlenen om er voor te zorgen dat je kunt voldoen aan jouw verplichtingen richting betrokkenen (dit zijn de klanten of medewerkers). Je bent verantwoordelijk voor het informeren van betrokkenen en het reageren op verzoeken, zoals het verzoek tot inzage, rectificatie of wissen van persoonsgegevens. Indien een betrokkene de uitoefening van zijn/haar rechten rechtstreeks aan de verwerker richt, moet hij/zij dit verzoek naar jou door sturen.

7. Recht op audit

Je hebt periodiek het recht een geautoriseerde derde partij een controle uit te laten voeren om te checken of de verwerker voldoet aan de verplichtingen uit de AVG. Tenzij voor de betreffende dienst bijvoorbeeld een assurance-verklaring of certificering beschikbaar is.

8. Doorgifte

Zonder voorafgaande (schriftelijke) toestemming van jou als opdrachtgever, is het de verwerker niet toegestaan persoonsgegevens te verwerken en/of door te geven aan derden in landen buiten de Europese Economische Ruimte.

9. Incidenten en datalekken

De verwerker is verplicht jou zo spoedig mogelijk in kennis te stellen van een incident in verband met persoonsgegevens, zoals een datalek. De verwerker zal alle medewerking verlenen die in redelijkheid van verwerker kan worden verwacht om er voor te zorgen dat je kunt voldoen aan jouw verplichtingen uit de AVG.

10. Sub-verwerkers

Indien de verwerker bepaalde werkzaamheden uitbesteedt aan zogenaamde sub-verwerkers, draagt de verwerker er zorg voor dat de sub-verwerker door een schriftelijke overeenkomst is gebonden aan tenminste dezelfde eisen als de verwerker zelf. Voor het inschakelen van een nieuwe sub-verwerker moet je volgens de wet toestemming te geven. In een bijlage wordt een overzicht van de huidige sub-verwerkers opgenomen.

Zie de afbeelding voor een mogelijke keten van (sub-)verwerkers en de gelijke afspraken die gemaakt moeten worden met betrekking tot de verwerking van persoonsgegevens.

Grafiek AVG Wat legt u vast in een verwerkersovereenkomst

11. Bewaren en vernietigen

De verwerker bewaart de persoonsgegevens minimaal gedurende de looptijd van de overeenkomst en zal de persoonsgegevens die hij ten behoeve van zijn werkzaamheden heeft ontvangen daarna indien mogelijk vernietigen dan wel aan jou retourneren.

Wij hebben verwerkersovereenkomsten beschikbaar. Heb je hier belangstelling voor, ga dan naar onze modellenshop.

 

Deel dit artikel