Verwerkersovereenkomst

[ verwerkersovereenkomst.eu ]

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een organisatie voor de verwerking een derde partij inschakelt.

Een organisatie die persoonsgegevens verwerkt, heeft een verantwoordingsplicht ('accountability'). Dit betekent dat men niet alleen moet voldoen aan de eisen uit de privacywet (AVG), maar ook moet kunnen bewijzen dat men aan die wet voldoet: er wordt onderbouwing geëist. Het opstellen van een verwerkersovereenkomst is hier onderdeel van.

De verwerkingsverantwoordelijke (Engels: 'controller') is de organisatie die het doel voor de verwerking van persoonsgegevens vaststelt en de middelen die hiervoor worden ingezet. Deze officiële naam wordt vaak afgekort tot 'verantwoordelijke'. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens.

De verwerker (Engels: 'processor') is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan diens rechtstreekse gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor dat voor het bedrijf de salarisadministratie afhandelt een verwerker zijn.

Lees ook de richtsnoeren van het Europees comité voor gegevensbescherming (de Europese toezichthouder) over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG.

De verwerkersovereenkomst is de overeenkomst tussen verantwoordelijke en verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Het is de verantwoordelijkheid van beide partijen om ervoor te zorgen dat dit ook daadwerkelijk gebeurt.
Diverse leveranciers leveren bibliotheken of tools voor het gebruik van standaard (verwerkers)overeenkomsten.

De Engelse benaming voor verwerkersovereenkomst is data processing agreement (DPA).

Wanneer is een verwerkersovereenkomst nodig?

Verwerker - werk in uitvoering Als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens 'uitbesteedt', is een schriftelijke overeenkomst vereist.

Besef dat er algauw sprake is van 'verwerken' van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking.

Een verwerkersovereenkomst hoeft geen losse overeenkomst te zijn. Het is juist een goed idee om in algemene(re) overeenkomsten afspraken te maken over de verwerking van persoonsgegevens. Daarmee wordt dit uniform geregeld en niet vergeten.

Onderwerpen in een verwerkersovereenkomst

Over het algemeen zijn onderstaande onderwerpen in de verwerkersovereenkomsten terug te vinden.
  • Algemene zaken

    Volgens art. 28 AVG moet in ieder geval gespecificeerd zijn:
    • Onderwerp en duur van de verwerking.
    • De aard en het doel van de verwerking.
    • Het soort persoonsgegevens.
    • Rechten en verplichtingen van de verwerkingsverantwoordelijke.
    • De categorieën van verwerking van de betrokkenen.
  • Verwerking in overeenstemming met instructies verantwoordelijke

    De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
  • Geheimhouding

    In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
  • Beveiligingsmaatregelen

    De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens -in overeenstemming met het risico van de verwerking- te beveiligen tegen verlies e.d.
  • Inschakelen van derden en onderaannemers

    In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
  • Locatie van de data

    De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
  • Audits

    De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen nadere afspraken maken over dit auditrecht.
  • Aansprakelijkheid

    De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.

Zzp'ers, freelancers en ict-bedrijven

Mensen die in de ict werkzaam zijn hebben vaak te maken met het verwerken van persoonsgegevens. Wanneer een organisatie gebruik maakt van externe medewerkers die persoonsgegevens onder ogen krijgen dan moet hiervoor iets geregeld worden.
Als een ict-bedrijf wordt ingehuurd dan moet de inhuurder met dat ict-bedrijf een verwerkersovereenkomst opstellen. Waarschijnlijk zal het ict-bedrijf haar medewerkers vragen om een geheimhoudingsverklaring te tekenen (die meestal voor alle klanten of opdrachten geldt).
Bij het inhuren van individuele ict'ers kunnen twee situaties ontstaan: de inhuurkracht werkt alle dagen op kantoor van de inhuurder en gedraagt zich feitelijk als een gewone werknemer waardoor er geen verwerkersovereenkomst nodig is. Of: de inhuurkracht bepaalt grotendeels zelf de invulling van de werkzaamheden waardoor er geen gezagsverhouding is. Een verwerkersovereenkomst is hier nodig.
De inschatting van de manier waarop de ict'er werkt vertoont sterke overeenkomsten met die van de Wet DBA

Verwerkingsregister: register van verwerkingen

Een verwerker heeft een documentatieplicht. Daarvoor is het verplicht een register bij het houden met alle verwerkingsactiviteiten.
Enkele verplichtingen die de AVG in art. 30 noemt:
  • Naam- en contactgegevens van de verwerkingsverantwoordelijke, verwerkers en eventuele subverwerkers. En de Functionaris Gegevensbescherming, als die er is.
  • De categorieën van verwerking, per verwerkingsverantwoordelijke.
  • Indien van toepassing: specificatie van doorgifte naar derde landen.
  • Getroffen technische en organisatorische beveilingsmaatregelen.
Meer informatie is te lezen op de pagina: verwerkingsregister

Verwerkersovereenkomst - bewerkersovereenkomst

De term bewerkersovereenkomst is met de komst van de AVG veranderd in verwerkersovereenkomst. Op dezelfde manier heeft het begrip verwerker de plaats ingenomen van bewerker.
Tegelijkertijd is de term 'verantwoordelijke' ('controller') vervangen door verwerkingsverantwoordelijke.
De Engelstalige versies worden ook vaak gebruikt:
Verwerker : 'processor'
Verwerkingsverantwoordelijke : 'controller'

Modellen verwerkersovereenkomsten

Grote bedrijven publiceren hun standaard verwerkersovereenkomst op de website. Dat is handig als je zaken met hen wilt gaan doen. Ze kunnen ook dienst doen als voorbeeld.
In diverse sectoren en door brancheorganisaties worden modellen voor verwerkersovereenkomsten gratis aangeboden. Enkele voorbeelden:

Gerelateerde onderwerpen