Privacy, veel ondernemers vinden het maar gedoe. Een van de meest gestelde vragen wanneer het op het gebied van privacy aankomt is of het sluiten van een verwerkersovereenkomst verplicht en wat houdt het in? Het komt vaak op een ‘nog te regelen’ lijstje te staan en ander achterstallig onderhoud. Want heel eerlijk niemand wordt er blij van om allerlei overeenkomsten op te moeten stellen. We kunnen echter je alvast een ding verklappen, het sluiten van een verwerkersovereenkomst is verstandig en in deze blog leggen we je graag uit waarom.

Wat is een verwerkersovereenkomst?

Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming, ook wel bekend als de AVG, in 2018 moeten bedrijven en organisaties in bepaalde gevallen een verwerkersovereenkomst sluiten. Zodra een organisatie een derde partij inschakelt, zoals een administratiekantoor, voor de verwerking van persoonsgegevens die zij hebben verzameld, moet op grond van de AVG een verwerkersovereenkomst worden gesloten. Er dient ook een verwerkersovereenkomst te worden gesloten wanneer de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is.

Een verwerkersovereenkomst is een belangrijk document. In een verwerkersovereenkomst wordt namelijk afgesproken dat die derde partij zorgvuldig met de persoonsgegevens omspringt, en zich aan de afspraken houdt die de organisatie daarover met de betrokkenen heeft gemaakt. Let er wel op: jij bent aan zet en bepaalt het doel van de verwerkersovereenkomst. Waarom verwerkt die derde partij gegevens, wat mogen ze ermee doen en welke middelen gebruiken ze hiervoor?

Wanneer is een verwerkersovereenkomst verplicht?

Niet voor elke verwerking van persoonsgegevens hoeft een verwerkersovereenkomst te worden gesloten. Dat moet alleen als een verwerkingsverantwoordelijke een derde partij (de verwerker) inschakelt voor de verwerking van persoonsgegevens. De verwerkersovereenkomst wordt dan gesloten tussen de verwerkingsverantwoordelijke en de verwerker. Nu hoor ik je misschien denken, maar wat is een verwerkingsverantwoordelijke of verwerker. We hebben er gelukkig al eens een uitgebreid blog over geschreven, deze kun je hier lezen. Toch leggen we het je hier graag even kort uit.

De verwerkingsverantwoordelijke is vaak de eerste partij die de persoonsgegevens ontvangt. Je geeft je persoonsgegevens aan deze partij voor een reden, bijvoorbeeld zodat je je pakketje kan ontvangen. De partij waarmee je afspraken maakt en je persoonsgegevens deelt is de verwerkingsverantwoordelijke. Iedere partij die jouw persoonsgegevens werkt is een verwerker, waaronder derde partijen die de verwerkingsverantwoordelijke hiervoor inzet.

Wat staat er in een verwerkingsovereenkomst?

In een verwerkingsovereenkomst maak je afspraken over de beveiliging van de gegevens. Oftewel, je legt schriftelijk vast dat zij er op een verantwoorde manier mee omgaan en de data niet gebruiken voor zaken waar jij geen opdracht voor gegeven hebt. Denk aan het analyseren en eventueel doorverkopen van klantgegevens. Over het algemeen komen de onderstaande onderwerpen in een verwerkingsovereenkomst aan bod:

  • Algemene zaken. Volgens art. 28 AVG moet in ieder geval gespecificeerd zijn:
    • Onderwerp en duur van de verwerking.
    • De aard en het doel van de verwerking.
    • Het soort persoonsgegevens.
    • Rechten en verplichtingen van de verwerkingsverantwoordelijke.
    • De categorieën van verwerking van de betrokkenen.

Buiten de bovengenoemde zaken, is het verstandig om ook de volgende zaken op te nemen:

  • Plicht tot geheimhouding. In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
  • Afspraken over eventuele onderaannemers. In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
  • De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens -in overeenstemming met het risico van de verwerking- te beveiligen tegen verlies e.d.
  • Locatie van de data. De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
  • Audits. De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen nadere afspraken maken over dit auditrecht.
  • Aansprakelijkheid. De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.

Verwerkersovereenkomst opstellen of controleren?

Heb je nog vragen, wil je een verwerkersovereenkomst laten opstellen of controleren, neem dan contact op met een jurist.

Blijf up-to-date over privacyrecht en andere interessante informatie!

Bij Juristenblog.nl proberen we je zo volledig mogelijk te informeren over veel aspecten van het privacyrecht. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen over het privacyrecht in de gaten!

Privacy, veel ondernemers vinden het maar gedoe. Een van de meest gestelde vragen wanneer het op het gebied van privacy aankomt is of het sluiten van een verwerkersovereenkomst verplicht en wat houdt het in? Het komt vaak op een ‘nog te regelen’ lijstje te staan en ander achterstallig onderhoud. Want heel eerlijk niemand wordt er blij van om allerlei overeenkomsten op te moeten stellen. We kunnen echter je alvast een ding verklappen, het sluiten van een verwerkersovereenkomst is verstandig en in deze blog leggen we je graag uit waarom.

Wat is een verwerkersovereenkomst?

Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming, ook wel bekend als de AVG, in 2018 moeten bedrijven en organisaties in bepaalde gevallen een verwerkersovereenkomst sluiten. Zodra een organisatie een derde partij inschakelt, zoals een administratiekantoor, voor de verwerking van persoonsgegevens die zij hebben verzameld, moet op grond van de AVG een verwerkersovereenkomst worden gesloten. Er dient ook een verwerkersovereenkomst te worden gesloten wanneer de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is.

Een verwerkersovereenkomst is een belangrijk document. In een verwerkersovereenkomst wordt namelijk afgesproken dat die derde partij zorgvuldig met de persoonsgegevens omspringt, en zich aan de afspraken houdt die de organisatie daarover met de betrokkenen heeft gemaakt. Let er wel op: jij bent aan zet en bepaalt het doel van de verwerkersovereenkomst. Waarom verwerkt die derde partij gegevens, wat mogen ze ermee doen en welke middelen gebruiken ze hiervoor?

Wanneer is een verwerkersovereenkomst verplicht?

Niet voor elke verwerking van persoonsgegevens hoeft een verwerkersovereenkomst te worden gesloten. Dat moet alleen als een verwerkingsverantwoordelijke een derde partij (de verwerker) inschakelt voor de verwerking van persoonsgegevens. De verwerkersovereenkomst wordt dan gesloten tussen de verwerkingsverantwoordelijke en de verwerker. Nu hoor ik je misschien denken, maar wat is een verwerkingsverantwoordelijke of verwerker. We hebben er gelukkig al eens een uitgebreid blog over geschreven, deze kun je hier lezen. Toch leggen we het je hier graag even kort uit.

De verwerkingsverantwoordelijke is vaak de eerste partij die de persoonsgegevens ontvangt. Je geeft je persoonsgegevens aan deze partij voor een reden, bijvoorbeeld zodat je je pakketje kan ontvangen. De partij waarmee je afspraken maakt en je persoonsgegevens deelt is de verwerkingsverantwoordelijke. Iedere partij die jouw persoonsgegevens werkt is een verwerker, waaronder derde partijen die de verwerkingsverantwoordelijke hiervoor inzet.

Wat staat er in een verwerkingsovereenkomst?

In een verwerkingsovereenkomst maak je afspraken over de beveiliging van de gegevens. Oftewel, je legt schriftelijk vast dat zij er op een verantwoorde manier mee omgaan en de data niet gebruiken voor zaken waar jij geen opdracht voor gegeven hebt. Denk aan het analyseren en eventueel doorverkopen van klantgegevens. Over het algemeen komen de onderstaande onderwerpen in een verwerkingsovereenkomst aan bod:

  • Algemene zaken. Volgens art. 28 AVG moet in ieder geval gespecificeerd zijn:
    • Onderwerp en duur van de verwerking.
    • De aard en het doel van de verwerking.
    • Het soort persoonsgegevens.
    • Rechten en verplichtingen van de verwerkingsverantwoordelijke.
    • De categorieën van verwerking van de betrokkenen.

Buiten de bovengenoemde zaken, is het verstandig om ook de volgende zaken op te nemen:

  • Plicht tot geheimhouding. In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
  • Afspraken over eventuele onderaannemers. In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
  • De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens -in overeenstemming met het risico van de verwerking- te beveiligen tegen verlies e.d.
  • Locatie van de data. De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
  • Audits. De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen nadere afspraken maken over dit auditrecht.
  • Aansprakelijkheid. De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.

Verwerkersovereenkomst opstellen of controleren?

Heb je nog vragen, wil je een verwerkersovereenkomst laten opstellen of controleren, neem dan contact op met een jurist.

Blijf up-to-date over privacyrecht en andere interessante informatie!

Bij Juristenblog.nl proberen we je zo volledig mogelijk te informeren over veel aspecten van het privacyrecht. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen over het privacyrecht in de gaten!

Over Juristenblog.nl

Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.

Schrijf je in & Blijf op de hoogte

Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.

We spammen niet. Je kunt je op ieder moment uitschrijven.