Home / Nieuws & Blogs / De verwerkersovereenkomst: wanneer wel, wanneer niet en wat zet je erin?

De verwerkersovereenkomst: wanneer wel, wanneer niet en wat zet je erin?

| 14 april 2015

Wat voorheen de bewerkersovereenkomst heette, wordt sinds het van kracht worden van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 voortaan de “verwerkersovereenkomst” genoemd. Hoewel die term ondertussen aardig ingeburgerd geraakt is, blijft het voor bedrijven soms nog steeds lastig om te bepalen of zij wel of geen verwerkersovereenkomst moeten hebben. Daarnaast is er ook nog steeds een groot aantal bedrijven dat niet weet wat een verwerkersovereenkomst is, laat staan wat daarin moet worden vastgelegd.

Dit artikel is 25-06-2019 geüpdatet

Wanneer je het over persoonsgegevens hebt, komt sinds 25 mei 2018 de AVG om de hoek kijken. De AVG bepaalt wat persoonsgegevens zijn en hoe je met deze gegevens om moet gaan en waarvoor je ze mag gebruiken. Ook de verwerkersovereenkomst wordt in de AVG behandeld.

Verwerker en verwerkingsverantwoordelijke

Bij het bepalen of een verwerkersovereenkomst benodigd is bij het delen van persoonsgegevens wordt gekeken naar de rolverdeling tussen de partijen. Het bedrijf wat het doel en de middelen van het gebruik van de persoonsgegevens bepaalt is de verwerkingsverantwoordelijke. Dat is in ieder geval bijvoorbeeld de werkgever voor de persoonsgegevens van werknemers, een winkel voor die van zijn klanten en een gemeente voor diverse persoonsgegevens van inwoners.

 Wel of geen verwerkersovereenkomst?

Wanneer je bijvoorbeeld je personeelsadministratie uitbesteedt, deel je persoonsgegevens van je medewerkers met een derde partij. In deze situatie ben jij de verwerkingsverantwoordelijke en het bedrijf aan wie je het uitbesteedt is de verwerker. Andersom, wanneer je een SaaS-dienst of hosting aanbiedt en daarmee persoonsgegevens voor een ander verwerkt geld jij als verwerker tegenover de verwerkingsverantwoordelijke.

In bovenstaande gevallen ben je verplicht een verwerkersovereenkomst af te sluiten en te zorgen dat alle daarin opgenomen regels worden nageleefd. Het afsluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke en de verwerker.

Laat je on-premise software installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een verwerkersovereenkomst vereist, tenzij de software bij een derde partij wordt beheerd en niet binnen jouw eigen ICT-omgeving. Geef je als organisatie je medewerkers de mogelijkheid om met de trein te komen en deel je daarvoor persoonsgegevens met de NS, dan hoef je als werkgever geen verwerkersovereenkomst af te sluiten met de NS omdat de NS zelf verwerkingsverantwoordelijke wordt.

Is het beschermingsniveau passend voor de soort gegevens?

Wanneer je persoonsgegevens laat verwerken door een ander (in de termen van de AVG: jij als verwerkingsverantwoordelijke laat persoonsgegevens verwerken door een verwerker), moet je ervoor zorgen dat de verwerking voldoende veiligheidswaarborgen heeft. Het beschermingsniveau moet hierbij in verhouding staan tot de te verwerken gegevens. Zo zullen de verwerkingen die plaatsvinden in het kader van het elektronisch patiëntendossier (EPD) een hoger beschermingsniveau nodig hebben dan verwerkingen die plaatsvinden bij het gebruik van een bonuskaart. Een voorbeeld van beveiligingsmaatregelen is het pseudonimiseren of versleutelen van persoonsgegevens.

Persoonsgegevens niet verwerken voor ander doel dan opgegeven in verwerkersovereenkomst

Ook is het belangrijk te weten dat de persoonsgegevens enkel in opdracht van de verwerkingsverantwoordelijke en volgens de aanwijzingen die zijn opgenomen in een verwerkersovereenkomst mogen worden verwerkt. Als verwerker mag je de persoonsgegevens waar je over komt te beschikken dus niet op eigen houtje voor een ander doel gaan verwerken. Het is overigens de verwerkingsverantwoordelijke die moet nagaan of dit alles ook daadwerkelijk gebeurt. De verwerker is daarom ook verplicht om mee te werken aan audits ter verificatie dat hij de verwerkersovereenkomst nakomt.

Wat moet er in een verwerkersovereenkomst staan? In de verwerkersovereenkomst leg je in ieder geval de volgende, wettelijk verplichte zaken vast:

  • welke persoonsgegevens u gaat verwerken;
  • op welke manier en voor welke doelen u de persoonsgegevens gaat verwerken;
  • aan welke partijen u de persoonsgegevens mag verstrekken en dat die partijen dezelfde plichten opgelegd krijgen als de verwerker;
  • welke beveiligingsmaatregelen u heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
  • dat de verwerkingsverantwoordelijke audits mag uitvoeren;
  • hoe aan de rechten van de betrokkene, bijvoorbeeld op inzage en correctie, wordt voldaan;
  • dat de verwerker ondersteunt bij het melden van eventuele datalekken;
  • wanneer en op welke manier de gegevens weer verwijderd worden.

Daarnaast worden vaak afspraken vastgelegd over aansprakelijkheid en vrijwaringen, bijvoorbeeld ten aanzien van boetes van de Autoriteit Persoonsgegevens.

Datalekken en teruggave bij einde overeenkomst

Een ander punt dat absoluut niet mag ontbreken is hoe partijen omgaan met datalekken. Het is van groot belang goed vast te leggen wie datalekken meldt en wie de schade die daardoor ontstaat zal vergoeden. En wat gebeurt er bij het einde van de overeenkomst? Worden de gegevens door de verwerker vernietigd of teruggestuurd? En als dat kosten met zich meebrengt, wie draait daarvoor op? Ook dat moet worden opgenomen in een verwerkersovereenkomst.

Onderzoek Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP)meldde in januari dat men bij dertig private organisaties heeft opgevraagd welke verwerkersovereenkomsten zij hebben met andere partijen wanneer die voor hen persoonsgegevens verwerken. De AP heeft deze informatie opgevraagd bij bedrijven in onder meer de energiesector, media en handel. Het niet voldoen aan de plicht om een verwerkersovereenkomst te sluiten kan leiden tot een waarschuwing of een hoge boete. Ook loop je misschien onnodig grote risico’s doordat er geen afspraken zijn gemaakt omtrent beveiliging en datalekken.

Op zoek naar een verwerkersovereenkomst op maat? Neem dan contact met ons op. Meer weten over onze privacyadviezen & -diensten?

Meer weten over persoonsgegevens en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis vereist. Bij afname van beide cursussen krijgt u het handboek De Algemene Verordening Gegevensbescherming gratis. Deze trainingen zijn ook beschikbaar als PO-trainingen voor advocaten en juristen.