Vanaf mei 2018 zal je de term wel vaker gehoord hebben: verwerkersovereenkomst. Toen ging de Algemene Verordening Gegevensbescherming (AVG) in werking en werden strenge privacyregels geïntroduceerd. Ondanks dat de term veel wordt gebruikt, zullen sommigen nog met vraag zitten: Wat is een verwerkersovereenkomst?
De mogelijkheid bestaat voor bedrijven en organisaties om derden, vaak een externe partij, in te schakelen om persoonsgegevens te verwerken. Hiervan wordt veel gebruikgemaakt. Denk bijvoorbeeld aan het uitbesteden van de boekhouding. Het bedrijf dat de opdracht hiertoe geeft, de verwerkingsverantwoordelijke, legt in een verwerkersovereenkomst de afspraken vast met een verwerker (de derde partij).
De term verwerkingsovereenkomst wordt ook wel vaak gebruikt. Belangrijk om te weten is dat een verwerkingsovereenkomst niet bestaat, en dus een onjuiste term is.
“In 2019 blijven we voorlichting geven om de naleving van de privacywetgeving te bevorderen. Tegelijkertijd gaan we steviger inzetten op handhaving nu organisaties bekender zijn met de nieuwe privacywet.”
– Aleid Wolfsen, Autoriteit Persoonsgegevens
In de overeenkomst staat o.a. welke persoonsgegevens worden verwerkt en voor welke doeleinden. Ook staat opgenomen aan welke partijen de persoonsgegevens verstrekt mogen worden en dat die partijen dezelfde verplichten krijgen als de verwerker. De beveiligingsmaatregelen moeten ook vermeld worden en hoe aan de rechten van de betrokkene wordt voldaan.
Bovendien met een verwerkingsverantwoordelijke met iedere afzonderlijke verwerker een overeenkomst sluiten. Soms kan het niet helemaal duidelijk zijn wie de verwerkingsverantwoordelijke en wie de verwerker is. Belangrijke factoren zijn:
Een verwerkersovereenkomst is altijd verplicht wanneer een derde partij wordt ingeschakeld om persoonsgegevens te verwerken. De betrokken hebben namelijk hun persoonsgegevens toevertrouwd aan de verwerkingsverantwoordelijke. Een verwerkersovereenkomst is dan een noodzakelijke waarborg om dit vertrouwen niet te schaden.
Het sluiten van een verwerkersovereenkomst is een van de vele plichten die in de AVG zijn opgenomen. Andere verplichtingen zijn o.a. het bijhouden van een verwerkingsregister en in sommige gevallen een Functionaris Gegevensbescherming aanstellen. Een andere belangrijke verplichting is het uitvoeren van Data Protection Impact Assessments (DPIA) waarbij de privacy risico’s in een bedrijf worden geformuleerd, vastgelegd en beperkt. Op het platform van blended.law vind je meerdere producten die jou kunnen helpen bij het uitvoeren van een DPIA.
Bekijk de DPIA productenIndien een verwerkersovereenkomst niet is gesloten mag de Autoriteit Persoonsgegevens een fikse boete uitdelen. Zowel de verwerkingsverantwoordelijke als de verwerker zijn dan in overtreding. Voorkom dit en laat je overeenkomst opstellen door een ervaren specialist op het platform van blended.law tegen een vaste prijs.
Heb jij een andere vraag over verwerkersovereenkomsten of AVG gerelateerde onderwerpen? Stel je vraag dan gratis via de website of stel je vraag over de telefoon via 085 – 065 7432. Voor je het weet hebben we voor jou de oplossing waar je naar op zoek bent!