Cookie Deze website serveert cookies voor advertenties. Ga alleen door als u dit goed vindt.   |   Balk inklappen   |   Meer informatie

Verwerkersovereenkomst


Sinds de komst van de Algemene Verordening Gegevensbescherming AVG is verwerkersovereenkomst de nieuwe benaming voor 'bewerkersovereenkomst'.
Evenzo is verwerkingsverantwoordelijke de nieuwe term voor 'verantwoordelijke' en verwerker de nieuwe term voor 'bewerker'.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een derde partij inschakelt.

Een organisatie die persoonsgegevens verwerkt heeft een verantwoordingsplicht ('accountability'). Het opstellen van verwerkersovereenkomst is hier onderdeel van.
De verwerkingsverantwoordelijke (Engels: 'controller') is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze officiële naam wordt vaak afgekort tot 'verantwoordelijke'. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens.

De verwerker (Engels: 'processor') is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor dat voor het bedrijf de salarisadministratie afhandelt verwerker zijn.

De verwerkersovereenkomst is de overeenkomst tussen verantwoordelijke en verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Beide partijen moeten ervoor zorgen dat dit ook gebeurt.

Zie de pagina Persoonsgegevens voor het begrip verwerken.
Lees ook de toelichting van de Artikel 29-werkgroep over de begrippen controller en processor. De Artikel 29-werkgroep is met de komst van de AVG vervangen door de European Data Protection Board.
Online zijn diverse generatoren die snel een verwerkersovereenkomst kunnen produceren.

De Engelse benaming voor verwerkersovereenkomst is data processing agreement (DPA).

Wanneer is een verwerkersovereenkomst nodig?

Verwerker - werk in uitvoering Als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens 'uitbesteedt', is een schriftelijke overeenkomst vereist.

Besef dat er algauw sprake is van 'verwerken' van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking.

Een verwerkersovereenkomst hoeft geen losse overeenkomst te zijn. Het is juist een goed idee om in algemene(re) overeenkomsten afspraken te maken over de verwerking van persoonsgegevens. Daarmee wordt dit uniform geregeld en niet vergeten.

Onderwerpen in een verwerkersovereenkomst

Over het algemeen zijn onderstaande onderwerpen in de verwerkersovereenkomsten terug te vinden.
  • Algemene zaken

    Volgens art. 28 AVG moet in ieder geval gespecificeerd zijn:
    • Onderwerp en duur van de verwerking.
    • De aard en het doel van de verwerking.
    • Het soort persoonsgegevens.
    • Rechten en verplichtingen van de verwerkingsverantwoordelijke.
    • De categorieën van verwerking van de betrokkenen.
  • Verwerking in overeenstemming met instructies verantwoordelijke

    De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
  • Geheimhouding

    In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
  • Beveiligingsmaatregelen

    De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens -in overeenstemming met het risico van de verwerking- te beveiligen tegen verlies e.d.
  • Inschakelen van derden en onderaannemers

    In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
  • Locatie van de data

    De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
  • Audits

    De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen hier nadere afspraken over maken.
  • Aansprakelijkheid

    De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.

Zzp'ers, freelancers en ict-bedrijven

Mensen die in de ict werkzaam zijn hebben vaak te maken met het verwerken van persoonsgegevens. Wanneer een organisatie gebruik maakt van externe medewerkers die persoonsgegevens onder ogen krijgen dan moet hiervoor iets geregeld worden.
Als een ict-bedrijf wordt ingehuurd dan moet de inhuurder met dat ict-bedrijf een verwerkersovereenkomst opstellen. Waarschijnlijk zal het ict-bedrijf haar medewerkers vragen om een geheimhoudingsverklaring te tekenen (die meestal voor alle klanten of opdrachten geldt).
Bij het inhuren van individuele ict'ers kunnen twee situaties ontstaan: de inhuurkracht werkt alle dagen op kantoor van de inhuurder en gedraagt zich feitelijk als een gewone werknemer waardoor er geen verwerkersovereenkomst nodig is. Of: de inhuurkracht bepaalt grotendeels zelf de invulling van de werkzaamheden waardoor er geen gezagsverhouding is. Een verwerkersovereenkomst is hier nodig.
De inschatting van de manier waarop de ict'er werkt vertoont sterke overeenkomsten met die van de Wet DBA

Verwerkingsregister: register van verwerkingen

Een verwerker heeft een documentatieplicht. Daarvoor is het verplicht een register bij het houden met alle verwerkingsactiviteiten.
Enkele verplichtingen die de AVG in art. 30 noemt:
  • Naam- en contactgegevens van de verwerkingsverantwoordelijke, verwerkers en eventuele subverwerkers. En de Functionaris Gegevensbescherming, als die er is.
  • De categorieën van verwerking, per verwerkingsverantwoordelijke.
  • Indien van toepassing: specificatie van doorgifte naar derde landen.
  • Getroffen technische en organisatorische beveilingsmaatregelen.
Op de website van de Belgische toezichthouder Gegevensbeschermingsautoriteit GBA is een model voor een register van verwerkingen te vinden. Dit model is gebaseerd op een indeling van verwerkingen op basis van processen.

Verwerkersovereenkomst - bewerkersovereenkomst

De term bewerkersovereenkomst is met de komst van de AVG aangepast in de term verwerkersovereenkomst. Op dezelfde manier heeft het begrip verwerker de plaats ingenomen van bewerker.
Tegelijkertijd is term 'verantwoordelijke' ('controller') vervangen door verwerkingsverantwoordelijke.
De Engelstalige versies worden ook vaak gebruikt:
Verwerker : 'processor'
Verwerkingsverantwoordelijke : 'controller'