Verwerkersovereenkomst

Verplichte verwerkersovereenkomst

De Algemene verordening gegevensbescherming (AVG) eist van zowel verwerkingsverantwoordelijken als verwerkers dat er een verwerkersovereenkomst is (artikel 28, derde lid, van de AVG). Beide partijen zijn dus aansprakelijk als zo’n overeenkomst ontbreekt.

De verwerkingsverantwoordelijke is een organisatie of persoon die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt.

U bent als verwerkingsverantwoordelijke in overtreding als u samenwerkt met een verwerker, maar hierover geen schriftelijke afspraken heeft gemaakt. U kunt dan niet aantonen dat u voldoende waarborgen heeft dat de verwerker de persoonsgegevens volgens de regels van de AVG beschermt.

Ook als verwerker bent u verplicht om een verwerkersovereenkomst te hebben. U kunt zich anders niet beroepen op de grondslag van de verwerkingsverantwoordelijke. U heeft dan geen enkel recht om die persoonsgegevens te verwerken.

Organisaties mogen alleen persoonsgegevens verwerken als zij daar een goede reden voor hebben. De juridische term hiervoor is ‘grondslag’. In de AVG staan 6 mogelijke grondslagen.

Initiatief voor verwerkersovereenkomst

In de praktijk neemt de verwerkingsverantwoordelijke vaak het initiatief voor het opstellen van een verwerkersovereenkomst. Van deze partij komt immers ook het initiatief om een verwerking uit te besteden. Maar het mag ook andersom.

Als verwerkingsverantwoordelijke blijft u altijd verantwoordelijk voor de verwerking. Ook als de verwerkersovereenkomst is opgesteld door de verwerker.

Inhoud van verwerkersovereenkomst

In de verwerkersovereenkomst legt u deze onderwerpen vast:

• Algemene beschrijving. Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.

  De persoon of personen van wie een organisatie persoonsgegevens verwerkt.

• Instructies voor de verwerking. De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
• Geheimhoudingsplicht. Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
• Beveiliging. De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

  Gegevens pseudonimiseren is een beveiligingsmaatregel. Door persoonsgegevens te pseudonimiseren is het moeilijker om deze gegevens te herleiden naar personen.

  Encryptie (ook wel 'versleuteling' genoemd)  is het versleutelen van informatie, zodat die onbegrijpelijk is voor onbevoegden. Dit is een beveiligingsmaatregel. De gegevens worden hierdoor niet anoniem.

• Subverwerkers. De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.
  In de overeenkomst kunt u ook direct afspreken dat de verwerker subverwerkers mag inschakelen en onder welke voorwaarden. Komt de subverwerker de verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (artikel 28, vierde lid, van de AVG).

  Organisaties kunnen de verwerking van persoonsgegevens uitbesteden aan een andere partij. Dit wordt de verwerker genoemd. Als deze verwerker de verwerking ook weer uitbesteedt aan een andere partij, dan is die partij de subverwerker.

• Privacyrechten. De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, verwijdering en dataportabiliteit).

  De persoon of personen van wie een organisatie persoonsgegevens verwerkt.

  Mensen hebben een aantal rechten als organisaties hun persoonsgegevens verwerken. Dit noemen we privacyrechten. Bijvoorbeeld het recht om gegevens in te zien, te laten verbeteren of verwijderen. 

• Andere verplichtingen. De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

  Organisaties die een ernstig datalek hebben, moeten dit op tijd melden bij de AP en soms ook aan de slachtoffers.

  Een data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling (GEB) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen.

  Is uit een DPIA naar voren gekomen dat een verwerking die een organisatie van plan is een hoog privacyrisico oplevert? En lukt het deze organisatie niet om maatregelen te vinden om dit risico te beperken? Dan moet de organisatie met de AP overleggen. Dit noemen we een voorafgaande raadpleging.

• Gegevens verwijderen. Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt de verwerker de gegevens aan u terug, als u dat wilt. Ook verwijdert de verwerker kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
• Audits. De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de hierboven genoemde verplichtingen (artikel 28 AVG).

Aandachtspunten verwerkersovereenkomst

Stelt u een verwerkersovereenkomst op? Dan is het goed om op een aantal dingen te letten. U mag in de verwerkersovereenkomst geen afspraken opnemen die in strijd zijn met de AVG. Doet u dat wel? Of gaat u akkoord met afspraken die in strijd zijn met de AVG? Dan bent u mogelijk in overtreding. De AVG staat boven de verwerkersovereenkomst.

De organisatie die daadwerkelijk het doel en de middelen van de verwerking bepaalt, is volgens de AVG de verwerkingsverantwoordelijke. Ongeacht wat er in de verwerkersovereenkomst staat. Bij de beoordeling van een verwerking kijkt de Autoriteit Persoonsgegevens altijd naar de feitelijke situatie.

Staat in de verwerkersovereenkomst bijvoorbeeld dat de andere partij verwerkingsverantwoordelijke is, maar bepaalt u waarvoor de persoonsgegevens worden verwerkt en hoe dat gebeurt? Dan bent u voor die verwerkingen verwerkingsverantwoordelijke. Ongeacht wat er in de in de overeenkomst staat. De feitelijke situatie is leidend.

U kunt een organisatie natuurlijk niet dwingen om een overeenkomst te tekenen. Wordt u het samen niet eens over de inhoud? Dan kunt u ervoor kiezen om niet samen te werken. Wanneer u dat wel doet maar geen verwerkersovereenkomst heeft, bent u beiden in overtreding.

Voorbeeld verwerkersovereenkomst

Is uw organisatie aangesloten bij een branchevereniging? Dan biedt die wellicht een voorbeeld van een verwerkersovereenkomst. Ook online vindt u veel voorbeelden. Zorg er wel altijd voor dat u de overeenkomst vertaalt naar uw specifieke situatie. En leg de overeenkomst naast de eisen van de AVG.

Standaardcontractbepalingen

De Europese Commissie heeft standaardcontractbepalingen voor in een verwerkersovereenkomst opgesteld. U kunt deze bepalingen opnemen in uw verwerkersovereenkomst voor doorgifte van persoonsgegevens binnen de EER. 

Bij de Europese Economische Ruimte (EER) horen alle EU-landen plus Liechtenstein, Noorwegen en IJsland.

Voor meer informatie, zie: Standard contractual clauses for controllers and processors in the EU/EEA op de website van de Europese Commissie.