Verwerkersovereenkomst: wat en hoe?

Verwerkersovereenkomst: wat en hoe?

Als u gegevens door een derde partij (verwerker) laat verwerken, bent u verplicht om een verwerkersovereenkomst te sluiten volgens de AVG. Waar moet u bij denken bij een verwerker?
Alle partijen die bij uw persoonsgegevens kunnen, zijn verwerkers. Dus ook Dropbox als u daar bijvoorbeeld de facturen opslaat. Maar ook uw boekhouder, als deze uw facturen ontvangt.

Waarom?

U moet ervan uit kunnen gaan dat de door u ingeschakelde verwerker behoorlijk omgaat met de verstrekte persoonsgegevens. Daarom worden in de verwerkersovereenkomst afspraken vastgelegd over de omgang met en beveiliging van persoonsgegevens door de verwerker.

Wie?

In tegenstelling tot hoe dit in de Wbp geregeld is, maakt het niet uit wie de overeenkomst opstelt of het initiatief hiertoe neemt. De verplichting berust bij beide partijen. Wie het initiatief neemt of de overeenkomst opstelt, hangt voor een deel af hoe groot de verschillende partijen zijn. Zo zullen grote verwerkers (denk aan Google Analytics) hun eigen verwerkersovereenkomsten hebben. Maar ook minder grote verwerkers zullen, om te voorkomen dat zij van al hun klanten aparte privacyafspraken opgelegd krijgen, steeds vaker met hun eigen verwerkersovereenkomst willen werken. Het zal dus van de situatie afhangen wie de overeenkomst opstelt. Daarom is het van belang om te weten wat er allemaal in de overeenkomst moet komen te staan.

Wat moet er in de overeenkomst staan?

De overeenkomst is bedoeld om vast te stellen dat de verwerker aan de wettelijke eisen omtrent privacy voldoet. Zo moet er duidelijk vastgelegd worden wat de rollen van beide partijen zijn, op welke concrete manier de gegevens beveiligd worden, wat er moet gebeuren bij een datalek en hoe het recht op een audit door de verwerkingsverantwoordelijke geregeld is. Ook moet erin opgenomen worden welke soort persoonsgegevens van welke categorie betrokkenen door de verwerker verwerkt worden.

Onderhandelen

Of u nu zelf de overeenkomst opstelt of een overeenkomst van een verwerker aangeboden krijgt, het zal in sommige gevallen ook een kwestie van onderhandelen zijn. Hoe groter de verwerker, hoe kleiner uw speelruimte zal zijn. Hoever u tegemoet wil komen aan de wensen van de verwerker, is natuurlijk helemaal aan u, maar hou hierbij in de gaten dat de verwerker wel aan de wettelijke eisen voldoet. Ga niet in zee met een verwerker die hier niet (helemaal) aan voldoet. In dat geval bent u aansprakelijk wanneer er iets mis gaat. Zoek dan verder en stap over naar een verwerker die bij u past én wel aan de wettelijke eisen voldoet.

Bestaande verwerkers

Ook met reeds bestaande verwerkers bent u (nu al) verplicht om een verwerkersovereenkomst te sluiten. Ga dus goed na met welke verwerkers u nu werkt. Heeft u hier al een verwerkersovereenkomst (in de Wbp wordt gesproken over bewerkersovereenkomst) mee, pas deze dan aan naar de AVG regelgeving. Heeft u nog geen verwerkersovereenkomsten gesloten, ga hier dan zo snel mogelijk mee aan de slag.

Basis verwerkersovereenkomst

Om u op weg te helpen, hebben wij een basis verwerkersovereenkomst opgesteld. Hierin zijn alle belangrijke wettelijke verplichtingen opgenomen. Uiteraard kunt u hierin ook zelf dingen aanpassen of toevoegen. Let hierbij wel op dat u in ieder geval aan de verplichte basis blijft voldoen. De overeenkomst kunt u ook gebruiken als checklist of een door de verwerker opgestelde overeenkomst voldoet aan de wettelijke eisen.

Deze basisovereenkomst is te bestellen voor € 25,- exclusief BTW. Interesse? Stuur een mailtje.

Lees ook: gegevens buiten EU brengen

Bent u nog niet klaar voor de AVG? Bestel dan snel ons doehetzelf-pakket: functioneel, praktisch en betaalbaar

Print Friendly, PDF & Email
Reageren is niet mogelijk.