Verwerkersovereenkomst
[ verwerkersovereenkomst.eu ]
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een organisatie voor de verwerking een derde partij inschakelt.Een organisatie die persoonsgegevens verwerkt, heeft een verantwoordingsplicht ('accountability'). Dit betekent dat men niet alleen moet voldoen aan de eisen uit de privacywet (AVG), maar ook moet kunnen bewijzen dat men aan die wet voldoet: er wordt onderbouwing geëist. Het opstellen van een verwerkersovereenkomst is hier onderdeel van.
De verwerkingsverantwoordelijke (Engels: 'controller') is de organisatie die het doel voor de verwerking van persoonsgegevens vaststelt en de middelen die hiervoor worden ingezet. Deze officiële naam wordt vaak afgekort tot 'verantwoordelijke'. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens.
De verwerker (Engels: 'processor') is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan diens rechtstreekse gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor dat voor het bedrijf de salarisadministratie afhandelt een verwerker zijn.
Lees ook de richtsnoeren van het Europees comité voor gegevensbescherming (de Europese toezichthouder) over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG.
De verwerkersovereenkomst is de overeenkomst tussen verantwoordelijke en verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Het is de verantwoordelijkheid van beide partijen om ervoor te zorgen dat dit ook daadwerkelijk gebeurt.
Diverse beroepsorganisaties stellen aan hun leden (en vaak ook aan anderen) kosteloos modellen van verwerkersovereenkomsten ter beschikking.
De Engelse benaming voor verwerkersovereenkomst is data processing agreement (DPA).
Wanneer is een verwerkersovereenkomst nodig?
Als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens 'uitbesteedt', is een schriftelijke overeenkomst vereist.Besef dat er algauw sprake is van 'verwerken' van persoonsgegevens: het inzien van de gegevens door een externe helpdesk geldt bijvoorbeeld al als een verwerking.
Een verwerkersovereenkomst hoeft geen losse overeenkomst te zijn. Het is juist een goed idee om in algemene(re) overeenkomsten afspraken te maken over de verwerking van persoonsgegevens. Daarmee wordt dit uniform geregeld en niet vergeten.
Onderwerpen in een verwerkersovereenkomst
Over het algemeen zijn onderstaande onderwerpen in een verwerkersovereenkomst terug te vinden.-
Algemene zaken
Volgens art. 28 AVG moet in ieder geval gespecificeerd zijn:- onderwerp en duur van de verwerking
- aard en het doel van de verwerking
- soort persoonsgegevens
- rechten en verplichtingen van de verwerkingsverantwoordelijke
- categorieën van verwerkingen
-
Verwerking in overeenstemming met instructies verantwoordelijke
De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke. -
Geheimhouding
In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht. -
Beveiligingsmaatregelen
De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens - in overeenstemming met het risico van de verwerking - te beveiligen tegen verlies e.d. -
Inschakelen van derden en onderaannemers
In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. -
Locatie van de data
De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland. -
Audits
De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen nadere afspraken maken over dit auditrecht. -
Aansprakelijkheid
De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.
Zzp'ers, freelancers en ict-bedrijven
Mensen die in de ict werkzaam zijn hebben vaak te maken met het verwerken van persoonsgegevens. Wanneer een organisatie gebruik maakt van externe medewerkers die persoonsgegevens verwerken dan moet hiervoor iets geregeld worden. Als het externe bedrijf niet als verwerker wordt gekwalificeerd maar zijn medewerkers in het kader van hun werkzaamheden wel persoonsgegevens (of andere vertrouwelijke gegevens) onder ogen krijgen, moeten de werknemers in elk geval een geheimhoudingsverklaring tekenen.Functioneert het ict-bedrijf wel als verwerker, dan moet de inhuurder met dat ict-bedrijf een verwerkersovereenkomst opstellen. Waarschijnlijk zal het ict-bedrijf haar medewerkers ook vragen een geheimhoudingsverklaring te tekenen (die meestal voor alle klanten of opdrachten geldt).
Bij het inhuren van individuele ict'ers kunnen twee situaties ontstaan: de inhuurkracht werkt alle dagen op kantoor van de inhuurder en gedraagt zich feitelijk als een gewone werknemer waardoor er geen verwerkersovereenkomst nodig is. Of: de inhuurkracht bepaalt grotendeels zelf de invulling van de werkzaamheden waardoor er geen gezagsverhouding is. Een verwerkersovereenkomst is in dit laatste geval vereist.
De inschatting van de manier waarop bovengenoemde ict'er werkt, vertoont overeenkomsten met de wijze waarop in de Wet DBA wordt ingeschat of een bepaalde persoon in loondienst werkt of als zelfstandige.
Verwerkingsregister: register van verwerkingen
Ook heeft de verwerker in de regel een documentatieplicht: hij moet een register bijhouden van zijn verwerkingsactiviteiten.Enkele verplichtingen die de AVG in art. 30 noemt:
- naam- en contactgegevens van verwerkingsverantwoordelijke, verwerkers, eventuele subverwerkers en (als die er is) de functionaris gegevensbescherming
- categorieën van verwerking, per verwerkingsverantwoordelijke
- indien van toepassing: specificatie van doorgifte naar derde landen
- genomen technische en organisatorische beveiligingsmaatregelen
Verwerkersovereenkomst - bewerkersovereenkomst
De term bewerkersovereenkomst is met de komst van de AVG veranderd in verwerkersovereenkomst. Op dezelfde manier heeft het begrip verwerker de plaats ingenomen van bewerker.Tegelijkertijd is de term 'verantwoordelijke' ('controller') vervangen door verwerkingsverantwoordelijke.
De Engelstalige versies worden ook vaak gebruikt:
Verwerker : processor
Verwerkingsverantwoordelijke : controller
Modellen verwerkersovereenkomsten
In diverse sectoren en door brancheorganisaties worden modellen voor verwerkersovereenkomsten gratis aangeboden. Enkele voorbeelden:- Modelverwerkersovereenkomst voor de zorgsector
- Verwerkersovereenkomst gemeenten (VNG)
- Model Verwerkersovereenkomst onderwijs
- Modelovereenkomsten accountants
- Model verwerkersovereenkomst rijksoverheid
- Model verwerkersovereenkomst Nederlandse orde van advocaten
- Verwerkersovereenkomst Google Analytics