Verwerkersovereenkomst

Privacy is een steeds belangrijker onderwerp aan het worden. Als bedrijf zijnde heb je veel persoonsgegevens. Hier zijn steeds meer regels aan verbonden. Deze zijn vastgelegd in de Algemene Verordening Gegevensbescherming (hierna: AVG). Zo ook de verwerkersovereenkomst. Als bedrijf kan je ervoor kiezen om een andere organisatie je verzamelde persoonsgegevens te laten verwerken. Denk hierbij aan een boekhoudprogramma zoals Moneybird. Ook is een verwerkersovereenkomst bijvoorbeeld nodig bij de opslag van gegevens bij een hosting provider van een website.

Wat houdt een verwerkersovereenkomst in?

Een verwerkersovereenkomst is een overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker waarin de afspraken over de omgang met persoonsgegevens zijn vastgelegd. De AVG verplicht beide partijen om deze overeenkomst af te sluiten. De verwerkersovereenkomst dient de volgende onderwerpen te behandelen: de duur van de overeenkomst, de rechten van betrokkenen, de verplichtingen van de verwerker, de geheimhoudingsplicht en de beveiliging van persoonsgegevens. Daarnaast kunnen er nog andere onderwerpen in de overeenkomst worden opgenomen, zoals de beëindiging van de overeenkomst, aansprakelijkheid, datalekken en de teruggave van persoonsgegevens. Een verwerkersovereenkomst heeft als doel om de persoonsgegevens te beschermen en de privacy van de betrokkenen te waarborgen.

Waarom heb je een verwerkersovereenkomst nodig?

Juridisch ben je als onderneming verplicht om afspraken te maken over de omgang met persoonsgegevens door de verwerker. De kans is vrij groot dat je persoonsgegevens van gebruikers, bezoekers en/of klanten verzamelt. Op het moment dat er gegevens verzameld worden waarmee je een persoon direct dan wel indirect kunt identificeren (denk aan naam e-mailadres, telefoonnummer of een IP-adres), verzamel je persoonsgegevens. Als je deze gegevens laat zien aan of laat opslaan door een andere organisatie, bijvoorbeeld een administratiekantoor, ben je verplicht om een verwerkersovereenkomst met die andere organisatie af te sluiten.

Wanneer heb je een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst is nodig op het moment dat je als bedrijf persoonsgegevens laat verwerken door een andere organisatie. Hierbij kun je denken aan het inschakelen van een administratiekantoor of hosting provider van een website. Ook het uitbesteden van marketingactiviteiten waarbij gebruik wordt gemaakt van persoonsgegevens valt onder het begrip 'verwerking' van persoonsgegevens. Het maakt hierbij niet uit of de persoonsgegevens zich binnen of buiten de Europese Unie bevinden. Als verantwoordelijke partij ben je verplicht om een verwerkersovereenkomst af te sluiten waarin de afspraken over de omgang met de persoonsgegevens zijn vastgelegd.

Wanneer ben je verwerkersverantwoordelijke of verwerker?

Het kan in de praktijk ontzettend lastig zijn om te bepalen wie verwerker is en wie verwerkersverantwoordelijke. In sommige situaties zijn beide partijen bij een verwerkersverantwoordelijke. In dat geval hoeft er geen verwerkersovereenkomst te worden afgesloten.

Verwerkersverantwoordelijke

De persoon dan wel organisatie die bepaalt voor welk doel en en met welke middelen de persoonsgegevens worden verwerkt wordt in de AVG de verwerkingsverantwoordelijke genoemd.

Verwerker

De externe persoon dan wel organisatie die voor een verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Wat regelt een verwerkersovereenkomst?

De AVG heeft vijf onderwerpen opgesteld die verplicht zijn om te benoemen. Denk hierbij aan de duur van de overeenkomst, rechten en betrokkenen, verplichtingen, geheimhoudingsplicht en de beveiliging van persoonsgegevens. Daarnaast kunnen onderwerpen als het inschakelen van een sub-verwerker er ook in worden meegenomen. Andere voorbeelden zijn:

• Beëindiging 
• Datalekken
• Aansprakelijkheid
• Teruggave persoonsgegevens