Tag

verwerkersovereenkomst

Vewerkersovereenkomst: wat moet er in staan?

By | Geen onderdeel van een categorie | No Comments

De privacywet AVG stelt eisen voor wat minimaal moet worden opgenomen in een verwerkersovereenkomst.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een overeenkomst die wordt gesloten met een verwerker. Een verwerker is een externe leverancier of dienstverlener waaraan een organisatie handelingen (juridische uitdrukking: “verwerkingen”) met persoonsgegevens uitbesteedt. Voorbeelden van handelingen zijn opslaan, inzien, aanpassen, verwijderen en doorsturen.

In een verwerkersovereenkomst worden de afspraken over de handelingen met persoonsgegevens die een verwerker in opdracht van een opdrachtgever (juridische uitdrukking: “verantwoordelijke”) mag verrichten vastgelegd.

Wat staat in de privacywet AVG over verwerkersovereenkomsten?

De privacywet AVG schrijft voor dat alleen verwerkers mogen worden ingehuurd die voldoende garanties kunnen geven dat zij “passende technische en organisatorische maatregelen” hebben genomen om te zorgen dat wordt voldaan aan de verplichtingen uit de privacywet, en ook om te zorgen dat de rechten van de personen wiens persoonsgegevens worden verwerkt, worden gewaarborgd.

Wat moet minimaal in een verwerkersovereenkomst staan?

Een verwerkersovereenkomst moet minimaal de volgende bepalingen omvatten:

  • Een omschrijving van de verwerking door de verwerker waaronder de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens dat wordt verwerkt, en de categorieën betrokken personen wiens persoonsgegevens worden verwerkt.
  • Toestemming vragen voor het uitbesteden van verwerkingen aan sub-verwerkers. Als de verwerker handelingen met de persoonsgegevens uitbesteedt aan andere verwerkers (sub-verwerkers), dit zijn meestal onderaannemers van de verwerker, dan moet de opdrachtgever (verantwoordelijke) daarvoor voorafgaande specifieke of algemene toestemming geven. Als er algemene toestemming wordt gegeven moet de verwerker wijzigingen van sub-verwerkers melden aan de opdrachtgever en de opdrachtgever de mogelijkheid geven bezwaar te maken.
  • Dezelfde verplichtingen opleggen aan sub-verwerkers. De verwerker moet ingehuurde sub-verwerkers dezelfde minimale verplichtingen opleggen als de verplichtingen die de opdrachtgever de verwerker oplegt.
  • Alleen handelen in opdracht van de opdrachtgever. De verwerker mag alleen maar handelingen met de persoonsgegevens verrichten in opdracht van de opdrachtgever. Dat wil zeggen: de verwerker mag alleen die handelingen verrichten die noodzakelijk zijn voor het uitvoeren van de diensten die de verwerker voor de opdrachtgever verricht. De verwerker mag niet zelfstandig bepalen wat er met de persoonsgegevens gebeurt.
  • Passende maatregelen nemen om de persoonsgegevens te beveiligen. Het beveiligen van de persoonsgegevens is één van de belangrijkste taken van de verwerker. In de verwerkersovereenkomst moet staan dat de verwerker “passende technische en organisatorische maatregelen” neemt om de persoonsgegevens te beveiligen. De Autoriteit Persoonsgegevens stelt daarbij als eis dat de beveiligingsmaatregelen ook worden omschreven in de verwerkersovereenkomst.
  • Zorg dragen voor geheimhouding door medewerkers. De verwerker moet ervoor zorgen dat de personen die de persoonsgegevens onder toezicht van de verwerker verwerken, verplicht zijn tot geheimhouding van die persoonsgegevens, ofwel door middel van afspraken met de opdrachtgever ofwel op basis van een beroepsmatige geheimhoudingsplicht.
  • Het verlenen van assistentie bij verschillende verplichtingen. In de verwerkersovereenkomst moet staan dat de verwerker de opdrachtgever door middel van “passende technische en organisatorische maatregelen”, voor zover mogelijk, assisteert bij het beantwoorden van verzoeken van de personen om wiens gegevens het gaat, bij het beveiligen van de persoonsgegevens, het melden van datalekken, het uitvoeren van PIA´s en (wanneer dat nodig is) voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
  • Persoonsgegevens weer overdragen of vernietigen. Na het einde van de dienstverlening door de verwerker moet deze de persoonsgegevens wissen of de persoonsgegevens aan de opdrachtgever teruggeven en bestaande kopieën verwijderen.
  • Audits toestaan en informatie aan opdrachtgever geven. De verwerker moet audits toestaan en informatie aan de opdrachtgever geven zodat deze na kan gaan of de verwerker de verplichtingen uit de verwerkersovereenkomst nakomt.