Wanneer is een verwerkersovereenkomst verplicht?

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing in Nederland. De AVG heeft het doel om burgers te beschermen in hun privacybelangen. Hierbij moet vooral gedacht worden aan regelgeving in de situaties dat organisaties in aanraking komen met persoonsgegevens. Persoonsgegevens zijn gegevens die direct of indirect tot een bepaald persoon te herleiden zijn. Denk hierbij bijvoorbeeld aan iemand zijn naam, adres of telefoonnummer.

Veel ondernemers zullen de invoering van de AVG wel gemerkt hebben. Er gaat geen maand voorbij of je hebt het woord ‘verwerkersovereenkomst’ wel gehoord. Maar wat is een verwerkersovereenkomst precies en wanneer is een verwerkersovereenkomst verplicht?

Wat is een verwerkersovereenkomst?

In een verwerkersovereenkomst maken partijen afspraken over de omgang met persoonsgegevens van derde personen. De verwerker en verwerkingsverantwoordelijke zijn wettelijk verplicht om bepaalde afspraken te maken. In een verwerkersovereenkomst worden bijvoorbeeld over de volgende onderwerpen afspraken gemaakt:

• dat de verwerking alleen plaatsvindt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke;
• vertrouwelijkheid van de personen die met de persoonsgegevens in aanraking komen;
• beveiligingsmaatregelen van de persoonsgegevens;
• sub-verwerkers;
• audits, en
• aansprakelijkheid.

Over de eerste vier punten ben je wettelijke verplicht om afspraken te maken. Naast deze vier verplichte afspraken zijn partijen vrij om af te spreken wat ze willen. Mits deze afspraken niet in strijd zijn met de wet.

Wanneer ben je dan verplicht om een verwerkersovereenkomst te sluiten?

Een verwerkersovereenkomst is verplicht als een verwerkingsverantwoordelijke een derde partij gaat inschakelen voor de verwerking van persoonsgegevens. Een verwerkingsverantwoordelijke is een partij die persoonsgegevens verzamelt, doordat hij bijvoorbeeld zijn klantgegevens opslaat. Hij bepaalt het doel en middel van de verwerking. Verwerking is een ruim begrip. Hier vallen eigenlijk alle handelingen onder die je met persoonsgegevens kan uitvoeren. Denk aan: verzamelen, opslaan, wijzigen, ordenen en zelfs vernietigen.

Wat veel mensen denken is dat je verplicht bent om een verwerkersovereenkomst in contractvorm te sluiten. Dit klopt niet helemaal. Je bent verplicht om met een overeenkomst of andere rechtshandeling de afspraken over die eerste vier punten vast te leggen. Dit kan bijvoorbeeld ook in de algemene voorwaarden.