In juli hebben we je al ingelicht over de AVG die vanaf 25 mei 2018 gehandhaafd zal worden. Ondertussen kun je bijna niet meer om deze AVG heen. Op veel websites kun je informatie en stappenplannen vinden over de AVG hoe je hieraan voldoet. Ondanks dat mei 2018 ver weg lijkt, is het dichterbij dan je denkt. Om je verder voor te bereiden zullen we je deze keer meer vertellen over de “verwerkersovereenkomst”.

Wat is een verwerkersovereenkomst?

In de AVG wordt gesproken over een verwerkersovereenkomst. Dit kan je bekend klinken, in de Wbp (Wet bescherming persoonsgegevens) heette dit namelijk een bewerkersovereenkomst. Met de komst van de Europese Privacyverordening zijn de begrippen ‘bewerker’ en ‘bewerkersovereenkomst’ hernoemd naar ‘verwerker’ en ‘verwerkersovereenkomst’.

In de verwerkersovereenkomst (of Data Processing Agreement (DPA)) komen begrippen voor die we zullen toelichten. Dit zijn de begrippen ‘verantwoordelijke’, ‘betrokkene’ en ‘verwerker’.

Wat houdt een verwerkersovereenkomst in?

De verwerkersovereenkomst is de overeenkomst tussen de verantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Voorbeeld: een bedrijf (verantwoordelijke) en een salarisadministratiekantoor (verwerker) moeten een schriftelijke overeenkomst met elkaar aangaan omdat het bedrijf persoonsgegevens van zijn werknemers bijhoudt voor de salarisadministratie. De verantwoordelijkheid dat deze overeenkomst afgesloten wordt ligt bij de verantwoordelijke (in dit voorbeeld het bedrijf).

Wanneer is een verwerkersovereenkomst nodig?

Als een verantwoordelijke persoonsgegevens laat verwerken door een verwerker, dan is altijd een verwerkersovereenkomst tussen de partijen verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens uitbesteedt, is een schriftelijke overeenkomst vereist.

Van verwerken van persoonsgegevens is al snel sprake: het inzien van de gegevens door een externe partij is al een verwerking.

Is het echt nodig om een verwerkersovereenkomst te hebben?

Ja, het is wettelijk verplicht om een verwerkersovereenkomst te hebben. Heb je dit niet, dan kunnen er sancties opgelegd worden. Daarom is het van belang dat je voor 25 mei 2018 beschikt over een verwerkersovereenkomst.

Wie is de ‘verantwoordelijke’ in de verwerkersovereenkomst?

De verantwoordelijke (controller) is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. Denk aan het voorbeeld van een bedrijf dat de persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). De verantwoordelijke (in dit voorbeeld het bedrijf) kan dit alleen doen of samen met anderen (zoals het salarisadministratiekantoor). Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

  • om welke verwerking het gaat;
  • welke persoonsgegevens het bedrijf hierbij verwerkt;
  • voor welk doel het bedrijf dit doet;
  • op welke manier het bedrijf dit doet.

Wie is de ‘betrokkene’ in de verwerkersovereenkomst?

De betrokkene (data subject) is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben (bijvoorbeeld werknemer X).

Wie is de ‘verwerker’ in de verwerkersovereenkomst?

Een verwerker (processor) is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. In bovengenoemd voorbeeld zou een salarisadministratiekantoor, dat voor het bedrijf de salarisadministratie afhandelt, de verwerker zijn.

Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. De verwerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

Wat is een persoonsgegeven?

Een persoonsgegeven is een gegeven aan de hand waarvan een natuurlijk persoon kan worden geïdentificeerd. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens.

Voorbeelden van een persoonsgegeven: naam- en adresgegevens, e-mailadressen, pasfoto’s, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens.

Onderwerpen in een verwerkersovereenkomst

De AVG stelt dat in een verwerkersovereenkomst de volgende zaken in ieder geval vermeld moeten zijn:

  • de duur van de verwerking (denk ook aan het verwijderen van de gegevens aan het einde van de opdracht);
  • de aard en de doeleinden van de verwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de specifieke taken en verantwoordelijkheden van de verwerker en het risico in verband met de rechten en bevoegdheden van de betrokkenen;
  • de voorafgaande toestemming van de verantwoordelijke voor het inschakelen van subverwerkers;
  • het waarborgen van vertrouwelijkheid;
  • hoe persoonsgegevens beveiligd zijn;
  • hoe het ter beschikking stellen van informatie aan de verantwoordelijke in het kader van audits is geregeld.

 

Heb je behoefte aan meer uitleg en duidelijkheid over de AVG?

Dat kunnen wij ons helemaal voorstellen. Daarom organiseren we graag een kennissessie waar we jou voor uitnodigen. Wil je deelnemen aan de kennissessie en meer informatie krijgen over de AVG? Stuur ons dan een mailtje naar marketing@measuremail.com of bel naar 078 – 631 33 03.