Verwerkersovereenkomst: wanneer nodig? De regels op een rij
Wanneer heb je precies een verwerkersovereenkomst nodig? We merken dat veel ondernemers het lastig vinden om die vraag te beantwoorden. Sterker nog, vaak denken ze dat het helemaal niet nodig is. Het tegendeel is waar. In dit artikel leggen we je uit waarom een verwerkersovereenkomst belangrijk is en wat erin moet staan.
Elke organisatie maakt gebruik van persoonsgegevens. Dat betekent ook dat veel verschillende organisaties die persoonsgegevens uitwisselen. Denk aan de salarisadministrateur die de gegevens van je werknemers nodig heeft. Maar ook aan het CRM-systeem waarin de gegevens van jouw klanten staan.
Het is belangrijk om goede afspraken met elkaar te maken, zodat duidelijk is wie precies verantwoordelijk is voor het verwerken en beveiligen van deze gegevens. Dat gebeurt in een verwerkersovereenkomst.
We gaan even helemaal terug naar de basis: privacy is een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. Je wilt de regie houden over je eigen persoonsgegevens. In de praktijk blijkt dat soms best lastig: vooral omdat je vaak niet eens weet welke organisaties jouw gegevens verwerken.
Inhoud
- Verwerkersovereenkomst: wanneer nodig? De regels op een rij
- Verwerkingsverantwoordelijke en verwerker
- Voorbeelden van verwerkersovereenkomsten
- De inhoud van een verwerkersovereenkomst
- Standaard verwerkersovereenkomsten
- Onderwerpen in een verwerkersoverkomst
- Zelf een verwerkersovereenkomst maken?
- Meest gestelde vragen
Daarom is het zo belangrijk dat organisaties verwerkersovereenkomsten afsluiten. Dat zorgt ten eerste voor duidelijkheid wie toegang heeft tot bepaalde persoonsgegevens. Maar ook wie de gegevens beveiligt en wie ze mag inzien. Daarmee kunnen datalekken voorkomen worden. Ook maakt het duidelijk wie er in actie moet komen bij een datalek. Diegene moet een datalek namelijk binnen 72 uur na het plaatsvinden ervan melden bij de Autoriteit Persoonsgegevens.
Verwerkingsverantwoordelijke en verwerker
Je sluit dus verwerkersovereenkomsten af met alle organisaties die persoonsgegevens van jou verwerken. Het is belangrijk dat je twee begrippen uit elkaar houdt: de verwerker en de verwerkingsverantwoordelijke. In het voorbeeld van de salarisadministrateur is de werkgever de verwerkingsverantwoordelijke. Hij blijft altijd verantwoordelijk voor de persoonsgegevens van zijn personeel, ook als hij deze door iemand anders laat verwerken. De salarisadministrateur is de verwerker.
Omdat de verwerkingsverantwoordelijke de verantwoordelijkheid blijft dragen, moet hij duidelijke afspraken maken met de verwerker in een verwerkersovereenkomst. Dit is altijd verplicht wanneer een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker.
Bij SaaS-diensten is dit ook het geval omdat de gegevens naar de server van een andere partij worden overgebracht. Maar ook wanneer iemand toegang krijgt tot jouw server met persoonsgegevens, bijvoorbeeld wanneer een freelancer toegang krijgt tot je CRM-systeem. Wanneer het gaat om software die fysiek op jouw locatie staat en alle gegevens intern blijven, is er geen verwerkersovereenkomst nodig.
Voorbeelden van verwerkersovereenkomsten
Veel voorkomende verwerkersovereenkomsten worden gesloten met bijvoorbeeld:
- de website-bouwer;
- de software-aanbieder van de digitale nieuwsbrief;
- de drukker die adresbestanden krijgt;
- de CMS-leverancier;
- de Office software leverancier;
- de CRM-leverancier;
- de SaaS-leverancier;
- het salarisverwerkingsbedrijf;
- etc.
Veel sectoren maken gebruik van standaard verwerkersovereenkomsten, bijvoorbeeld voor gemeenten, Rijksoverheidsorganisaties, de zorgsector, het onderwijs en accountants. Deze overeenkomsten zijn vaak opgesteld door brancheorganisaties en kunnen een voorbeeld zijn voor het opstellen van overeenkomsten door individuele organisaties.
Het kan voorkomen dat de verwerkersovereenkomst deel uit maakt van algemene voorwaarden, een offerte of een andere overeenkomst van de verwerker. Check of deze algemene voorwaarden, offerte of andere overeenkomst bepalingen bevatten die ook gelden voor de verwerkersovereenkomst, bijvoorbeeld bepalingen over de beëindiging van de verwerkersovereenkomst of over de aansprakelijkheid van de verwerker.
De inhoud van een verwerkersovereenkomst
Een verwerkersovereenkomst moet voldoen aan verschillende eisen. Je legt in ieder geval de volgende, wettelijk verplichte zaken vast:
- welke persoonsgegevens je gaat verwerken;
- op welke manier en voor welke doelen je de persoonsgegevens gaat verwerken;
- aan welke partijen je de persoonsgegevens mag verstrekken en dat die partijen dezelfde plichten opgelegd krijgen als de verwerker;
- welke beveiligingsmaatregelen je hebt genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
- dat de verwerkingsverantwoordelijke audits mag uitvoeren;
- hoe aan de rechten van de betrokkene, bijvoorbeeld op inzage en correctie, wordt voldaan;
- dat de verwerker ondersteunt bij het melden van eventuele datalekken;
- wanneer en op welke manier de gegevens weer verwijderd worden.
Daarnaast worden vaak afspraken vastgelegd over aansprakelijkheid en vrijwaringen, bijvoorbeeld ten aanzien van boetes van de Autoriteit Persoonsgegevens.
Je moet ervoor zorgen dat in de overeenkomst voldoende veiligheidswaarborgen worden vastgelegd. Daarbij moet het beschermingsniveau in verhouding staan tot de persoonsgegevens die verwerkt worden. Zo zal een ziekenhuis met een elektronisch patiëntendossier (EPD) een hoger beschermingsniveau nodig hebben dan een supermarkt die gegevens verwerkt voor een bonuskaart.
Standaard verwerkersovereenkomsten
Een standaard verwerkersovereenkomst is een vooraf opgesteld contract dat voldoet aan de vereisten van de AVG. Het biedt een kant-en-klare juridische basis voor de relatie tussen een verwerkingsverantwoordelijke en een verwerker bij het verwerken van persoonsgegevens.
Standaard verwerkersovereenkomsten worden vaak opgesteld door brancheorganisaties, overheidsinstanties of andere organisaties en zijn bedoeld om een efficiënte en gestandaardiseerde aanpak te bieden. Ze worden gebruikt als basisdocument dat daarna kan worden aangepast aan de specifieke behoeften van de betrokken partijen. Door een standaard verwerkersovereenkomst te gebruiken die is opgesteld door een betrouwbare bron, kan iedereen erop vertrouwen dat de overeenkomst de noodzakelijke juridische waarde heeft.
Een standaard verwerkersovereenkomst bevat algemene clausules die van toepassing zijn op vrijwel elke verwerkingssituatie. Bijvoorbeeld definities van belangrijke termen, verplichtingen van de verwerker, verplichtingen van de verwerkingsverantwoordelijke, aansprakelijkheid, duur van de overeenkomst, enzovoort. Aanvullende clausules kunnen worden toegevoegd of bestaande clausules kunnen worden gewijzigd om de overeenkomst aan de situatie aan te passen.
Onderwerpen in een verwerkersoverkomst
Dit zijn de onderwerpen die doorgaans in een verwerkersovereenkomst worden behandeld:
- Partijen: De overeenkomst moet de identificatie en contactgegevens van zowel de verwerkingsverantwoordelijke als de verwerker vermelden.
- Doel en aard van de verwerking: De overeenkomst moet duidelijk aangeven waarom de persoonsgegevens worden verwerkt en welke specifieke verwerkingstaken de verwerker namens de verwerkingsverantwoordelijke zal uitvoeren.
- Instructies van de verwerkingsverantwoordelijke: De overeenkomst moet bepalen dat de verwerker de persoonsgegevens alleen zal verwerken in overeenstemming met de gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij wettelijk verplicht.
- Geheimhouding en beveiliging: De verwerker moet worden verplicht om passende technische en organisatorische maatregelen te treffen om de persoonsgegevens te beveiligen en vertrouwelijk te behandelen. Dit omvat maatregelen om ongeoorloofde toegang, verlies, vernietiging of schade aan de gegevens te voorkomen.
- Subverwerkers: Als de verwerker van plan is om de gegevensverwerking uit te besteden aan een derde partij (onderaannemer), moet de overeenkomst specifieke bepalingen bevatten met betrekking tot het gebruik van subverwerkers.
- Rechten van betrokkenen: De overeenkomst moet bepalingen bevatten met betrekking tot het ondersteunen van de verwerkingsverantwoordelijke bij het nakomen van de rechten van betrokkenen, zoals het recht op toegang, correctie, verwijdering en bezwaar.
- Melding van datalekken: De verwerker moet verplicht worden gesteld om eventuele inbreuken op de beveiliging of ongeoorloofde toegang tot de persoonsgegevens onmiddellijk te melden aan de verwerkingsverantwoordelijke. Dit omvat het verstrekken van alle relevante informatie met betrekking tot het datalek.
- Doorgifte van gegevens: Als persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER), moeten er specifieke bepalingen worden opgenomen om te zorgen voor een rechtmatige doorgifte van gegevens, zoals het gebruik van passende waarborgen zoals modelcontractbepalingen van de Europese Commissie.
- Duur en beëindiging: De overeenkomst moet de duur van de overeenkomst aangeven, evenals de voorwaarden voor beëindiging, inclusief de verwijdering of retournering van de persoonsgegevens na beëindiging.
- Aansprakelijkheid en schadevergoeding: De aansprakelijkheid van de partijen en de eventuele schadevergoeding moeten worden behandeld, inclusief bepalingen over aansprakelijkheidsbeperkingen en uitsluitingen.
Zelf een verwerkersovereenkomst maken?
Het opstellen van een verwerkersovereenkomst kan een complex en tijdrovend proces lijken, maar het is wel mogelijk om er zelf een te maken. Om zelf een verwerkersovereenkomst op te stellen, moet je beginnen met het verzamelen van de juiste informatie. Zorg ervoor dat je de specifieke vereisten van de AVG begrijpt en identificeer
welke persoonsgegevens worden verwerkt, met welk doel en hoe lang ze worden bewaard. Daarnaast moet je de rechten en verplichtingen van beide partijen vastleggen, zoals de beveiligingsmaatregelen die de verwerker moet nemen en de procedures voor het melden van datalekken.
Vervolgens kun je gebruikmaken van online sjablonen of modelovereenkomsten die beschikbaar zijn. In AVG-Programma kun je daarvan een voorbeeld vinden. Pas deze aan op jouw organisatie en de aard van de verwerkingen die plaatsvinden. Zorg ervoor dat de overeenkomst duidelijk en ondubbelzinnig is, en dat alle relevante clausules en verplichtingen worden opgenomen.
Onthoud dat een verwerkersovereenkomst een belangrijk document is dat de rechten en verplichtingen van beide partijen vastlegt. Het zorgvuldig opstellen ervan is essentieel om de bescherming van persoonsgegevens en naleving van de AVG te waarborgen.
Let op de verplichtingen
Het is goed om te weten dat de persoonsgegevens alleen in opdracht van de verwerkingsverantwoordelijke en volgens de aanwijzingen die zijn opgenomen in een verwerkersovereenkomst mogen worden verwerkt.
Als verwerker mag je die persoonsgegevens dus niet voor een ander doel gaan verwerken. Het is de verwerkingsverantwoordelijke die moet nagaan of dit alles ook daadwerkelijk gebeurt. De verwerker is daarom ook verplicht om mee te werken aan audits ter verificatie dat hij de verwerkersovereenkomst nakomt.
Naast de verwerkersovereenkomst is elke organisatie verplicht om een register bij te houden van alle verwerkingsactiviteiten, het zg. verwerkingsregister. Daarin staan bijvoorbeeld naam- en contactgegevens van de verwerkingsverantwoordelijke, verwerkers en eventuele subverwerkers, de Functionaris Gegevensbescherming, als die er is.
Maar ook de categorieën van verwerking, per verwerkingsverantwoordelijke, getroffen technische en organisatorische beveilingsmaatregelen en, indien van toepassing: specificatie van doorgifte naar derde landen.
Gratis proefaccount: AVG-Programma
Wil je in vier heldere stappen voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
Meest gestelde vragen
Een verwerkersovereenkomst is een contract tussen een verwerkingsverantwoordelijke en een verwerker. In de overeenkomst staan de voorwaarden voor het verwerken van persoonsgegevens.
Er zijn duidelijke richtlijnen waaraan een verwerkersovereenkomst moet voldoen. Er moet oa informatie in staan over de verwerking van persoonsgegevens, de duur van de verwerking, de verplichtingen van de verwerker en beveiligingsmaatregelen.
Het opstellen van verwerkersovereenkomsten is niet vrijblijvend. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen als dit niet is gedaan. De hoogte van de boete kan hoog oplopen. Afhankelijk van de ernst van overtreding zijn boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet mogelijk.
Ja, als je als verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een externe partij, zoals een verwerker, is een Verwerkersovereenkomst vereist.
De verwerkingsverantwoordelijke is verantwoordelijk voor het opstellen van de Verwerkersovereenkomst, maar beide partijen kunnen samenwerken om deze op te stellen.
Let op dat alle wettelijke vereisten van de Algemene Verordening Gegevensbescherming (AVG) worden opgenomen, zoals de rechten en verplichtingen van beide partijen, beveiligingsmaatregelen en meldingsprocedures voor datalekken.
De verwerkingsverantwoordelijke is primair verantwoordelijk voor de Verwerkersovereenkomst, maar beide partijen moeten de overeenkomst naleven en samenwerken om aan de vereisten te voldoen.
De Verwerkersovereenkomst blijft van kracht zolang de verwerking van persoonsgegevens plaatsvindt en eindigt wanneer de verwerking stopt of wanneer de overeenkomst wordt beëindigd, afhankelijk van wat het eerst komt.