Verwerkersovereenkomst: een volledige uitleg

Wanneer heb je precies een verwerkersovereenkomst nodig? We merken dat veel ondernemers het lastig vinden om die vraag te beantwoorden. Sterker nog, vaak denken ze dat het helemaal niet nodig is. Het tegendeel is waar. In dit artikel leggen we je uit waarom een verwerkersovereenkomst belangrijk is en wat erin moet staan.

Voordat we dieper ingaan op wanneer je precies een verwerkersovereenkomst nodig hebt, is het cruciaal om enkele belangrijke definities duidelijk te stellen. Een verwerkersovereenkomst is een contract tussen de verwerkingsverantwoordelijke (degene die bepaalt waarom en hoe persoonsgegevens worden verwerkt) en de verwerker (degene die de persoonsgegevens daadwerkelijk verwerkt in opdracht van de verwerkingsverantwoordelijke), zoals vereist onder de Algemene Verordening Gegevensbescherming (AVG).

Elke organisatie maakt gebruik van persoonsgegevens. Dat betekent ook dat veel verschillende organisaties die persoonsgegevens uitwisselen. Denk aan de salarisadministrateur die de gegevens van je werknemers nodig heeft. Maar ook aan het CRM-systeem waarin de gegevens van jouw klanten staan.

Het is belangrijk om goede afspraken met elkaar te maken, zodat duidelijk is wie precies verantwoordelijk is voor het verwerken en beveiligen van deze gegevens. Dat gebeurt in een verwerkersovereenkomst.

De verwerkersovereenkomst: de basis

We gaan even helemaal terug naar de basis: privacy is een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. Je wilt de regie houden over je eigen persoonsgegevens. In de praktijk blijkt dat soms best lastig: vooral omdat je vaak niet eens weet welke organisaties jouw gegevens verwerken.

De AVG vereist dat elke verwerkersovereenkomst specifieke informatie bevat over hoe de persoonsgegevens worden verwerkt, inclusief het doel van de verwerking, de duur van de verwerking, en de soorten persoonsgegevens die worden verwerkt. Dit verzekert de naleving van de AVG, die gericht is op het versterken en harmoniseren van gegevensbescherming voor alle individuen binnen de Europese Unie.

Daarom is het zo belangrijk dat organisaties verwerkersovereenkomsten afsluiten. Dat zorgt ten eerste voor duidelijkheid wie toegang heeft tot bepaalde persoonsgegevens. Maar ook wie de gegevens beveiligt en wie ze mag inzien. Daarmee kunnen datalekken voorkomen worden. Ook maakt het duidelijk wie er in actie moet komen bij een datalek. Diegene moet een datalek namelijk binnen 72 uur na het plaatsvinden ervan melden bij de Autoriteit Persoonsgegevens.

Zelf de AVG regelen voor jouw organisatie?

Regel alle onderdelen van de AVG zelfstandig via onze online werkomgeving, zonder duizenden euro’s uit te geven aan juridisch advies.

Probeer 30 dagen gratis

Verwerkingsverantwoordelijke en verwerker

Je sluit dus verwerkersovereenkomsten af met alle organisaties die persoonsgegevens van jou verwerken. Het is belangrijk dat je twee begrippen uit elkaar houdt: de verwerker en de verwerkingsverantwoordelijke. In het voorbeeld van de salarisadministrateur is de werkgever de verwerkingsverantwoordelijke. Hij blijft altijd verantwoordelijk voor de persoonsgegevens van zijn personeel, ook als hij deze door iemand anders laat verwerken. De salarisadministrateur is de verwerker.

Omdat de verwerkingsverantwoordelijke de verantwoordelijkheid blijft dragen, moet hij duidelijke afspraken maken met de verwerker in een verwerkersovereenkomst. Dit is altijd verplicht wanneer een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker.

Bij SaaS-diensten is dit ook het geval omdat de gegevens naar de server van een andere partij worden overgebracht. Maar ook wanneer iemand toegang krijgt tot jouw server met persoonsgegevens, bijvoorbeeld wanneer een freelancer toegang krijgt tot je CRM-systeem. Wanneer het gaat om software die fysiek op jouw locatie staat en alle gegevens intern blijven, is er geen verwerkersovereenkomst nodig.

Voorbeelden van verwerkersovereenkomsten

Veel voorkomende verwerkersovereenkomsten worden gesloten met bijvoorbeeld:

• de website-bouwer;
• de software-aanbieder van de digitale nieuwsbrief;
• de drukker die adresbestanden krijgt;
• de CMS-leverancier;
• de Office software leverancier;
• de CRM-leverancier;
• de SaaS-leverancier;
• het salarisverwerkingsbedrijf;
• etc.

Laten we een praktisch scenario nemen: een bedrijf schakelt een cloud service provider in voor het opslaan en beheren van klantgegevens. In dit geval is het bedrijf de verwerkingsverantwoordelijke, en de cloud service provider is de verwerker. Hun verwerkersovereenkomst moet gedetailleerd specificeren welke klantgegevens worden opgeslagen, hoe ze worden beveiligd, en de procedures voor het rapporteren van eventuele datalekken.

Veel sectoren maken gebruik van standaard verwerkersovereenkomsten, bijvoorbeeld voor gemeenten, Rijksoverheidsorganisaties, de zorgsector, het onderwijs en accountants. Deze overeenkomsten zijn vaak opgesteld door brancheorganisaties en kunnen een voorbeeld zijn voor het opstellen van overeenkomsten door individuele organisaties.

Het kan voorkomen dat de verwerkersovereenkomst deel uit maakt van algemene voorwaarden, een offerte of een andere overeenkomst van de verwerker. Check of deze algemene voorwaarden, offerte of andere overeenkomst bepalingen bevatten die ook gelden voor de verwerkersovereenkomst, bijvoorbeeld bepalingen over de beëindiging van de verwerkersovereenkomst of over de aansprakelijkheid van de verwerker.

De inhoud van een verwerkersovereenkomst

Een verwerkersovereenkomst moet voldoen aan verschillende eisen. Je legt in ieder geval de volgende, wettelijk verplichte zaken vast:

• welke persoonsgegevens je gaat verwerken;
• op welke manier en voor welke doelen je de persoonsgegevens gaat verwerken;
• aan welke partijen je de persoonsgegevens mag verstrekken en dat die partijen dezelfde plichten opgelegd krijgen als de verwerker;
• welke beveiligingsmaatregelen je hebt genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
• dat de verwerkingsverantwoordelijke audits mag uitvoeren;
• hoe aan de rechten van de betrokkene, bijvoorbeeld op inzage en correctie, wordt voldaan;
• dat de verwerker ondersteunt bij het melden van eventuele datalekken;
• wanneer en op welke manier de gegevens weer verwijderd worden.

Daarnaast worden vaak afspraken vastgelegd over aansprakelijkheid en vrijwaringen, bijvoorbeeld ten aanzien van boetes van de Autoriteit Persoonsgegevens.

Je moet ervoor zorgen dat in de overeenkomst voldoende veiligheidswaarborgen worden vastgelegd. Daarbij moet het beschermingsniveau in verhouding staan tot de persoonsgegevens die verwerkt worden. Zo zal een ziekenhuis met een elektronisch patiëntendossier (EPD) een hoger beschermingsniveau nodig hebben dan een supermarkt die gegevens verwerkt voor een bonuskaart.

Standaard verwerkersovereenkomsten

Een standaard verwerkersovereenkomst is een vooraf opgesteld contract dat voldoet aan de vereisten van de AVG. Het biedt een kant-en-klare juridische basis voor de relatie tussen een verwerkingsverantwoordelijke en een verwerker bij het verwerken van persoonsgegevens.

Standaard verwerkersovereenkomsten worden vaak opgesteld door brancheorganisaties, overheidsinstanties of andere organisaties en zijn bedoeld om een efficiënte en gestandaardiseerde aanpak te bieden. Ze worden gebruikt als basisdocument dat daarna kan worden aangepast aan de specifieke behoeften van de betrokken partijen. Door een standaard verwerkersovereenkomst te gebruiken die is opgesteld door een betrouwbare bron, kan iedereen erop vertrouwen dat de overeenkomst de noodzakelijke juridische waarde heeft.

Een standaard verwerkersovereenkomst bevat algemene clausules die van toepassing zijn op vrijwel elke verwerkingssituatie. Bijvoorbeeld definities van belangrijke termen, verplichtingen van de verwerker, verplichtingen van de verwerkingsverantwoordelijke, aansprakelijkheid, duur van de overeenkomst, enzovoort. Aanvullende clausules kunnen worden toegevoegd of bestaande clausules kunnen worden gewijzigd om de overeenkomst aan de situatie aan te passen.

Onderwerpen in een verwerkersoverkomst

Dit zijn de onderwerpen die doorgaans in een verwerkersovereenkomst worden behandeld:

• Partijen: De overeenkomst moet de identificatie en contactgegevens van zowel de verwerkingsverantwoordelijke als de verwerker vermelden.

• Doel en aard van de verwerking: De overeenkomst moet duidelijk aangeven waarom de persoonsgegevens worden verwerkt en welke specifieke verwerkingstaken de verwerker namens de verwerkingsverantwoordelijke zal uitvoeren.

• Instructies van de verwerkingsverantwoordelijke: De overeenkomst moet bepalen dat de verwerker de persoonsgegevens alleen zal verwerken in overeenstemming met de gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij wettelijk verplicht.

• Geheimhouding en beveiliging: De verwerker moet worden verplicht om passende technische en organisatorische maatregelen te treffen om de persoonsgegevens te beveiligen en vertrouwelijk te behandelen. Dit omvat maatregelen om ongeoorloofde toegang, verlies, vernietiging of schade aan de gegevens te voorkomen.

• Subverwerkers: Als de verwerker van plan is om de gegevensverwerking uit te besteden aan een derde partij (onderaannemer), moet de overeenkomst specifieke bepalingen bevatten met betrekking tot het gebruik van subverwerkers.

• Rechten van betrokkenen: De overeenkomst moet bepalingen bevatten met betrekking tot het ondersteunen van de verwerkingsverantwoordelijke bij het nakomen van de rechten van betrokkenen, zoals het recht op toegang, correctie, verwijdering en bezwaar.

• Melding van datalekken: De verwerker moet verplicht worden gesteld om eventuele inbreuken op de beveiliging of ongeoorloofde toegang tot de persoonsgegevens onmiddellijk te melden aan de verwerkingsverantwoordelijke. Dit omvat het verstrekken van alle relevante informatie met betrekking tot het datalek.

• Doorgifte van gegevens: Als persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER), moeten er specifieke bepalingen worden opgenomen om te zorgen voor een rechtmatige doorgifte van gegevens, zoals het gebruik van passende waarborgen zoals modelcontractbepalingen van de Europese Commissie.

• Duur en beëindiging: De overeenkomst moet de duur van de overeenkomst aangeven, evenals de voorwaarden voor beëindiging, inclusief de verwijdering of retournering van de persoonsgegevens na beëindiging.

• Aansprakelijkheid en schadevergoeding: De aansprakelijkheid van de partijen en de eventuele schadevergoeding moeten worden behandeld, inclusief bepalingen over aansprakelijkheidsbeperkingen en uitsluitingen.

Zelf een verwerkersovereenkomst maken?

Het opstellen van een verwerkersovereenkomst kan een complex en tijdrovend proces lijken, maar het is wel mogelijk om er zelf een te maken. Om zelf een verwerkersovereenkomst op te stellen, moet je beginnen met het verzamelen van de juiste informatie. Zorg ervoor dat je de specifieke vereisten van de AVG begrijpt en identificeer

welke persoonsgegevens worden verwerkt, met welk doel en hoe lang ze worden bewaard. Daarnaast moet je de rechten en verplichtingen van beide partijen vastleggen, zoals de beveiligingsmaatregelen die de verwerker moet nemen en de procedures voor het melden van datalekken.

Vervolgens kun je gebruikmaken van online sjablonen of modelovereenkomsten die beschikbaar zijn. In AVG-Programma kun je daarvan een voorbeeld vinden. Pas deze aan op jouw organisatie en de aard van de verwerkingen die plaatsvinden. Zorg ervoor dat de overeenkomst duidelijk en ondubbelzinnig is, en dat alle relevante clausules en verplichtingen worden opgenomen.

Onthoud dat een verwerkersovereenkomst een belangrijk document is dat de rechten en verplichtingen van beide partijen vastlegt. Het zorgvuldig opstellen ervan is essentieel om de bescherming van persoonsgegevens en naleving van de AVG te waarborgen.

AVG en de juridische gevolgen

De AVG, oftewel de Algemene Verordening Gegevensbescherming, heeft behoorlijk wat veranderd voor bedrijven in de EU op het gebied van gegevensbeheer. Deze wet stelt strikte regels over hoe bedrijven om moeten gaan met persoonlijke informatie. Kort gezegd, het zorgt ervoor dat bedrijven heel duidelijk moeten zijn over wat ze met jouw gegevens doen en hoe ze die beschermen.

De AVG heeft een paar belangrijke punten. Ten eerste, als een bedrijf jouw gegevens verwerkt, moeten ze precies volgen wat jij als klant wil. Ze moeten ook zorgen dat jouw gegevens goed beveiligd zijn. Als ze deze regels niet volgen, kunnen de boetes hoog oplopen, soms tot wel 4% van de wereldwijde omzet van het bedrijf of 20 miljoen euro.

Maar wat betekent dit nu voor jou? Nou, jij hebt meer te zeggen over je eigen gegevens. Je hebt bijvoorbeeld het recht om te weten welke gegevens een bedrijf van jou heeft, en je kunt vragen om deze te corrigeren als er iets niet klopt. Ook kun je soms zelfs vragen om ‘vergeten’ te worden, wat betekent dat het bedrijf je gegevens moet wissen.

In het kort, de AVG maakt bedrijven verantwoordelijk voor hoe ze met persoonlijke gegevens omgaan en geeft jou meer controle over je eigen informatie. Het is een belangrijke stap naar meer privacy en veiligheid in de digitale wereld.

Let op de verplichtingen

Het is goed om te weten dat de persoonsgegevens alleen in opdracht van de verwerkingsverantwoordelijke en volgens de aanwijzingen die zijn opgenomen in een verwerkersovereenkomst mogen worden verwerkt.

Als verwerker mag je die persoonsgegevens dus niet voor een ander doel gaan verwerken. Het is de verwerkingsverantwoordelijke die moet nagaan of dit alles ook daadwerkelijk gebeurt. De verwerker is daarom ook verplicht om mee te werken aan audits ter verificatie dat hij de verwerkersovereenkomst nakomt.

Naast de verwerkersovereenkomst is elke organisatie verplicht om een register bij te houden van alle verwerkingsactiviteiten, het zg. verwerkingsregister. Daarin staan bijvoorbeeld naam- en contactgegevens van de verwerkingsverantwoordelijke, verwerkers en eventuele subverwerkers, de Functionaris Gegevensbescherming, als die er is.

Maar ook de categorieën van verwerking, per verwerkingsverantwoordelijke, getroffen technische en organisatorische beveilingsmaatregelen en, indien van toepassing: specificatie van doorgifte naar derde landen.

Meest gestelde vragen