Verwerkersovereenkomst: wanneer nodig? De regels op een rij

Wanneer heb je precies een verwerkersovereenkomst nodig? We merken dat veel ondernemers het lastig vinden om die vraag te beantwoorden. Sterker nog, vaak denken ze dat het helemaal niet nodig is. Het tegendeel is waar. In dit artikel leggen we je uit waarom een verwerkersovereenkomst belangrijk is en wat erin moet staan.

Elke organisatie maakt gebruik van persoonsgegevens. Dat betekent ook dat veel verschillende organisaties die persoonsgegevens uitwisselen. Denk aan de salarisadministrateur die de gegevens van je werknemers nodig heeft. Maar ook aan het CRM-systeem waarin de gegevens van jouw klanten staan.

Het is belangrijk om goede afspraken met elkaar te maken, zodat duidelijk is wie precies verantwoordelijk is voor het verwerken en beveiligen van deze gegevens. Dat gebeurt in een verwerkersovereenkomst.

We gaan even helemaal terug naar de basis: privacy is een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. Je wilt de regie houden over je eigen persoonsgegevens. In de praktijk blijkt dat soms best lastig: vooral omdat je vaak niet eens weet welke organisaties jouw gegevens verwerken.

Daarom is het zo belangrijk dat organisaties verwerkersovereenkomsten afsluiten. Dat zorgt ten eerste voor duidelijkheid wie toegang heeft tot bepaalde persoonsgegevens. Maar ook wie de gegevens beveiligt en wie ze mag inzien. Daarmee kunnen datalekken voorkomen worden. Ook maakt het duidelijk wie er in actie moet komen bij een datalek. Diegene moet een datalek namelijk binnen 72 uur na het plaatsvinden ervan melden bij de Autoriteit Persoonsgegevens.

De verwerkingsverantwoordelijke en verwerker

Je sluit dus verwerkersovereenkomsten af met alle organisaties die persoonsgegevens van jou verwerken. Het is belangrijk dat je twee begrippen uit elkaar houdt: de verwerker en de verwerkingsverantwoordelijke. In het voorbeeld van de salarisadministrateur is de werkgever de verwerkingsverantwoordelijke. Hij blijft altijd verantwoordelijk voor de persoonsgegevens van zijn personeel, ook als hij deze door iemand anders laat verwerken. De salarisadministrateur is de verwerker.

Omdat de verwerkingsverantwoordelijke de verantwoordelijkheid blijft dragen, moet hij duidelijke afspraken maken met de verwerker in een verwerkersovereenkomst. Dit is altijd verplicht wanneer een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker.

Bij SaaS-diensten is dit ook het geval omdat de gegevens naar de server van een andere partij worden overgebracht. Maar ook wanneer iemand toegang krijgt tot jouw server met persoonsgegevens, bijvoorbeeld wanneer een freelancer toegang krijgt tot je CRM-systeem. Wanneer het gaat om software die fysiek op jouw locatie staat en alle gegevens intern blijven, is er geen verwerkersovereenkomst nodig.

Voorbeelden van verwerkersovereenkomsten

Veel voorkomende verwerkersovereenkomsten worden gesloten met bijvoorbeeld:

  • de website-bouwer;
  • de software-aanbieder van de digitale nieuwsbrief;
  • de drukker die adresbestanden krijgt;
  • de CMS-leverancier;
  • de Office software leverancier;
  • de CRM-leverancier;
  • de SaaS-leverancier;
  • het salarisverwerkingsbedrijf;
  • etc.

Veel sectoren maken gebruik van standaard verwerkersovereenkomsten, bijvoorbeeld voor gemeenten, Rijksoverheidsorganisaties, de zorgsector, het onderwijs en accountants. Deze overeenkomsten zijn vaak opgesteld door brancheorganisaties en kunnen een voorbeeld zijn voor het opstellen van overeenkomsten door individuele organisaties.

Het kan voorkomen dat de verwerkersovereenkomst deel uit maakt van algemene voorwaarden, een offerte of een andere overeenkomst van de verwerker. Check of deze algemene voorwaarden, offerte of andere overeenkomst bepalingen bevatten die ook gelden voor de verwerkersovereenkomst, bijvoorbeeld bepalingen over de beëindiging van de verwerkersovereenkomst of over de aansprakelijkheid van de verwerker.

De inhoud van een verwerkersovereenkomst

Een verwerkersovereenkomst moet voldoen aan verschillende eisen. Je legt in ieder geval de volgende, wettelijk verplichte zaken vast:

  • welke persoonsgegevens je gaat verwerken;
  • op welke manier en voor welke doelen je de persoonsgegevens gaat verwerken;
  • aan welke partijen je de persoonsgegevens mag verstrekken en dat die partijen dezelfde plichten opgelegd krijgen als de verwerker;
  • welke beveiligingsmaatregelen je hebt genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
  • dat de verwerkingsverantwoordelijke audits mag uitvoeren;
  • hoe aan de rechten van de betrokkene, bijvoorbeeld op inzage en correctie, wordt voldaan;
  • dat de verwerker ondersteunt bij het melden van eventuele datalekken;
  • wanneer en op welke manier de gegevens weer verwijderd worden.

Daarnaast worden vaak afspraken vastgelegd over aansprakelijkheid en vrijwaringen, bijvoorbeeld ten aanzien van boetes van de Autoriteit Persoonsgegevens.

Je moet ervoor zorgen dat in de overeenkomst voldoende veiligheidswaarborgen worden vastgelegd. Daarbij moet het beschermingsniveau in verhouding staan tot de persoonsgegevens die verwerkt worden. Zo zal een ziekenhuis met een elektronisch patiëntendossier (EPD) een hoger beschermingsniveau nodig hebben dan een supermarkt die gegevens verwerkt voor een bonuskaart.

Let op de verplichtingen

Het is goed om te weten dat de persoonsgegevens alleen in opdracht van de verwerkingsverantwoordelijke en volgens de aanwijzingen die zijn opgenomen in een verwerkersovereenkomst mogen worden verwerkt.

Als verwerker mag je die persoonsgegevens dus niet voor een ander doel gaan verwerken. Het is de verwerkingsverantwoordelijke die moet nagaan of dit alles ook daadwerkelijk gebeurt. De verwerker is daarom ook verplicht om mee te werken aan audits ter verificatie dat hij de verwerkersovereenkomst nakomt.

Naast de verwerkersovereenkomst is elke organisatie verplicht om een register bij te houden van alle verwerkingsactiviteiten, het zg. verwerkingsregister. Daarin staan bijvoorbeeld naam- en contactgegevens van de verwerkingsverantwoordelijke, verwerkers en eventuele subverwerkers, de functionaris gegevensbescherming, als die er is.

Maar ook de categorieën van verwerking, per verwerkingsverantwoordelijke, getroffen technische en organisatorische beveilingsmaatregelen en, indien van toepassing: specificatie van doorgifte naar derde landen.

Meest gestelde vragen

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een contract tussen een verwerkingsverantwoordelijke en een verwerker. In de overeenkomst staan de voorwaarden voor het verwerken van persoonsgegevens.

Wat moet er in een verwerkersovereenkomst staan?

Er zijn duidelijke richtlijnen waaraan een verwerkersovereenkomst moet voldoen. Er moet oa informatie in staan over de verwerking van persoonsgegevens, de duur van de verwerking, de verplichtingen van de verwerker en beveiligingsmaatregelen.

Kunnen er boetes worden opgelegd als er geen verwerkersovereenkomst is?

Het opstellen van verwerkersovereenkomsten is niet vrijblijvend. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen als dit niet is gedaan. De hoogte van de boete kan hoog oplopen. Afhankelijk van de ernst van overtreding zijn boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet mogelijk.

Meer nieuws

Het recht om vergeten te worden – AVG in de praktijk

Het recht om vergeten te worden, ook wel het recht op vergetelheid, is een van de aandachtspunten uit de AVG. Hier lees je er alles over. Lees meer

Functionaris Gegevensbescherming: taken op een rij

De Functionaris Gegevensbescherming heeft taken op het gebied van privacy binnen een organisatie. In dit artikel lees je alles over de FG. Lees meer

Is een cookiemelding verplicht?

Heb je een website? Of een cookiemelding nodig is, hangt van verschillende factoren af. Lees hier: is een cookiemelding verplicht? Lees meer