Wanneer heb je precies een verwerkersovereenkomst nodig? We merken dat veel ondernemers het lastig vinden om die vraag te beantwoorden. Sterker nog, vaak denken ze dat het helemaal niet nodig is. Het tegendeel is waar. In dit artikel leggen we je uit waarom een verwerkersovereenkomst belangrijk is en wat erin moet staan.
Elke organisatie maakt gebruik van persoonsgegevens. Dat betekent ook dat veel verschillende organisaties die persoonsgegevens uitwisselen. Denk aan de salarisadministrateur die de gegevens van je werknemers nodig heeft. Maar ook aan het CRM-systeem waarin de gegevens van jouw klanten staan.
Het is belangrijk om goede afspraken met elkaar te maken, zodat duidelijk is wie precies verantwoordelijk is voor het verwerken en beveiligen van deze gegevens. Dat gebeurt in een verwerkersovereenkomst.
We gaan even helemaal terug naar de basis: privacy is een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. Je wilt de regie houden over je eigen persoonsgegevens. In de praktijk blijkt dat soms best lastig: vooral omdat je vaak niet eens weet welke organisaties jouw gegevens verwerken.
Daarom is het zo belangrijk dat organisaties verwerkersovereenkomsten afsluiten. Dat zorgt ten eerste voor duidelijkheid wie toegang heeft tot bepaalde persoonsgegevens. Maar ook wie de gegevens beveiligt en wie ze mag inzien. Daarmee kunnen datalekken voorkomen worden. Ook maakt het duidelijk wie er in actie moet komen bij een datalek. Diegene moet een datalek namelijk binnen 72 uur na het plaatsvinden ervan melden bij de Autoriteit Persoonsgegevens.
De verwerkingsverantwoordelijke en verwerker
Je sluit dus verwerkersovereenkomsten af met alle organisaties die persoonsgegevens van jou verwerken. Het is belangrijk dat je twee begrippen uit elkaar houdt: de verwerker en de verwerkingsverantwoordelijke. In het voorbeeld van de salarisadministrateur is de werkgever de verwerkingsverantwoordelijke. Hij blijft altijd verantwoordelijk voor de persoonsgegevens van zijn personeel, ook als hij deze door iemand anders laat verwerken. De salarisadministrateur is de verwerker.
Omdat de verwerkingsverantwoordelijke de verantwoordelijkheid blijft dragen, moet hij duidelijke afspraken maken met de verwerker in een verwerkersovereenkomst. Dit is altijd verplicht wanneer een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker.
Bij SaaS-diensten is dit ook het geval omdat de gegevens naar de server van een andere partij worden overgebracht. Maar ook wanneer iemand toegang krijgt tot jouw server met persoonsgegevens, bijvoorbeeld wanneer een freelancer toegang krijgt tot je CRM-systeem. Wanneer het gaat om software die fysiek op jouw locatie staat en alle gegevens intern blijven, is er geen verwerkersovereenkomst nodig.
Voorbeelden van verwerkersovereenkomsten
Veel voorkomende verwerkersovereenkomsten worden gesloten met bijvoorbeeld:
- de website-bouwer;
- de software-aanbieder van de digitale nieuwsbrief;
- de drukker die adresbestanden krijgt;
- de CMS-leverancier;
- de Office software leverancier;
- de CRM-leverancier;
- de SaaS-leverancier;
- het salarisverwerkingsbedrijf;
- etc.
Veel sectoren maken gebruik van standaard verwerkersovereenkomsten, bijvoorbeeld voor gemeenten, Rijksoverheidsorganisaties, de zorgsector, het onderwijs en accountants. Deze overeenkomsten zijn vaak opgesteld door brancheorganisaties en kunnen een voorbeeld zijn voor het opstellen van overeenkomsten door individuele organisaties.
Het kan voorkomen dat de verwerkersovereenkomst deel uit maakt van algemene voorwaarden, een offerte of een andere overeenkomst van de verwerker. Check of deze algemene voorwaarden, offerte of andere overeenkomst bepalingen bevatten die ook gelden voor de verwerkersovereenkomst, bijvoorbeeld bepalingen over de beëindiging van de verwerkersovereenkomst of over de aansprakelijkheid van de verwerker.
De inhoud van een verwerkersovereenkomst
Een verwerkersovereenkomst moet voldoen aan verschillende eisen. Je legt in ieder geval de volgende, wettelijk verplichte zaken vast:
- welke persoonsgegevens je gaat verwerken;
- op welke manier en voor welke doelen je de persoonsgegevens gaat verwerken;
- aan welke partijen je de persoonsgegevens mag verstrekken en dat die partijen dezelfde plichten opgelegd krijgen als de verwerker;
- welke beveiligingsmaatregelen je hebt genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
- dat de verwerkingsverantwoordelijke audits mag uitvoeren;
- hoe aan de rechten van de betrokkene, bijvoorbeeld op inzage en correctie, wordt voldaan;
- dat de verwerker ondersteunt bij het melden van eventuele datalekken;
- wanneer en op welke manier de gegevens weer verwijderd worden.
Daarnaast worden vaak afspraken vastgelegd over aansprakelijkheid en vrijwaringen, bijvoorbeeld ten aanzien van boetes van de Autoriteit Persoonsgegevens.
Je moet ervoor zorgen dat in de overeenkomst voldoende veiligheidswaarborgen worden vastgelegd. Daarbij moet het beschermingsniveau in verhouding staan tot de persoonsgegevens die verwerkt worden. Zo zal een ziekenhuis met een elektronisch patiëntendossier (EPD) een hoger beschermingsniveau nodig hebben dan een supermarkt die gegevens verwerkt voor een bonuskaart.
Let op de verplichtingen
Het is goed om te weten dat de persoonsgegevens alleen in opdracht van de verwerkingsverantwoordelijke en volgens de aanwijzingen die zijn opgenomen in een verwerkersovereenkomst mogen worden verwerkt.
Als verwerker mag je die persoonsgegevens dus niet voor een ander doel gaan verwerken. Het is de verwerkingsverantwoordelijke die moet nagaan of dit alles ook daadwerkelijk gebeurt. De verwerker is daarom ook verplicht om mee te werken aan audits ter verificatie dat hij de verwerkersovereenkomst nakomt.
Naast de verwerkersovereenkomst is elke organisatie verplicht om een register bij te houden van alle verwerkingsactiviteiten, het zg. verwerkingsregister. Daarin staan bijvoorbeeld naam- en contactgegevens van de verwerkingsverantwoordelijke, verwerkers en eventuele subverwerkers, de functionaris gegevensbescherming, als die er is.
Maar ook de categorieën van verwerking, per verwerkingsverantwoordelijke, getroffen technische en organisatorische beveilingsmaatregelen en, indien van toepassing: specificatie van doorgifte naar derde landen.
Meest gestelde vragen
Een verwerkersovereenkomst is een contract tussen een verwerkingsverantwoordelijke en een verwerker. In de overeenkomst staan de voorwaarden voor het verwerken van persoonsgegevens.
Er zijn duidelijke richtlijnen waaraan een verwerkersovereenkomst moet voldoen. Er moet oa informatie in staan over de verwerking van persoonsgegevens, de duur van de verwerking, de verplichtingen van de verwerker en beveiligingsmaatregelen.
Het opstellen van verwerkersovereenkomsten is niet vrijblijvend. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen als dit niet is gedaan. De hoogte van de boete kan hoog oplopen. Afhankelijk van de ernst van overtreding zijn boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet mogelijk.