Vergroot contrast

Onderzoek in private sector: ‘de’ verwerkers-overeenkomst bestaat niet

De Autoriteit Persoonsgegevens (AP) heeft bij 31 organisaties in de private sector (uit de sectoren handel, gezondheidszorg, media, vrije tijd en energie) onderzoek gedaan naar verwerkersovereenkomsten. Het doel was een beter beeld te krijgen van hoe organisaties deze overeenkomsten opstellen. De conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn.

Dit past bij het beeld dat de Algemene verordening gegevensbescherming (AVG), door de open normen van deze wet, mogelijkheden biedt voor maatwerk. Niet elke organisatie of verwerking is immers hetzelfde.

Verwerkersovereenkomst

Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld als zij de boekhouding uitbesteden, een callcenter inhuren of een website laten hosten. Zo’n andere organisatie heet een verwerker.

In een verwerkersovereenkomst leggen beide partijen afspraken vast over wat de verwerker wel en niet mag doen met die persoonsgegevens. Een verwerkersovereenkomst is verplicht op grond van de AVG.

Aanbevelingen van de AP

De AP benadrukt dat degelijke, periodiek bijgewerkte verwerkersovereenkomsten onderdeel vormen van een goede bedrijfsvoering.

Organisaties die steeds meer door data gedreven worden, doen er goed aan om te investeren in werkende verwerkersovereenkomsten als onderdeel van hun datahuishouding.

Verder heeft de AP een paar algemene aanbevelingen voor organisaties, waaronder:

  1. Maak op basis van uw verwerkingsregister inzichtelijk welke organisaties u inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst geldt of vereist is.
  2. Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen. Sluit aan op bestaande processen voor contractmanagement en herzie de overeenkomsten periodiek.
  3. Maak afspraken en maatregelen concreet. Een verwerkers-overeenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Benoem bijvoorbeeld concrete bewaartermijnen of maak concreet welke beveiligingsmaatregelen worden getroffen.

Voor meer aanbevelingen en concrete do’s & dont’s, zie: Werkende verwerkersovereenkomsten - Onderzoek naar de toepassing in de private sector.

Verkennende onderzoeken 

Sinds de invoering van de AVG op 25 mei 2018 controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. Zo keek de AP eerder of overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken een functionaris voor de gegevensbescherming (FG) hebben.

Ook deed de AP een verkennend onderzoek bij grote private organisaties om te onderzoeken of zij een register van verwerkingsactiviteiten bijhouden.

Zie ook