AVG: Wat legt u vast in een verwerkersovereenkomst?

Dan mag u uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen. En bij wie bovendien de bescherming van de rechten van individuen is geborgd.

Verwerker

Denk hierbij aan leveranciers voor uw webshop of salarisadministratie. Deze leveranciers worden in het kader van de AVG ‘verwerker’ genoemd. De afspraken met verwerkers over de verwerking van persoonsgegevens moet u vastleggen in:

• een verwerkersovereenkomst;
• of in andere bindende afspraken.

Dit wil zeggen dat u zelf mag bepalen hoe u de afspraken vastlegt, mits het u en de leverancier maar bindt. Zo kunt u afspraken en voorwaarden bijvoorbeeld ook vastleggen in een paragraaf bij uw dienstverleningsovereenkomst of opnemen in uw algemene voorwaarden.

Let op! Voorwaarde is dat de vastlegging van afspraken en voorwaarden in schriftelijke of in digitale vorm gebeurt.

Verwerken is een breed begrip. Volgens de AVG gaat het onder andere om: het opslaan, wijzigen, raadplegen, doorzenden, verzamelen, opvragen en vernietigen van persoonsgegevens. Samengevat: alles wat je met persoonsgegevens kunt doen.

Wat moet er worden vastgelegd in een verwerkersovereenkomst?

De volgende onderdelen moeten op basis van de AVG minimaal worden vastgelegd:

1. Verwerkingsverantwoordelijke en verwerker

Duidelijk moet zijn dat uw bedrijf verwerkingsverantwoordelijke is voor de persoonsgegevens en de ingeschakelde leverancier verwerker.

2. Instructies

De verwerker verwerkt de persoonsgegevens alleen op basis van uw (schriftelijke) instructies, met het doel uitvoering te geven aan de dienstverleningsovereenkomst, tenzij verwerking verplicht is op basis van een wettelijk voorschrift.

3. Categorieën persoonsgegevens

De verwerker verwerkt alleen die persoonsgegevens die vereist zijn om de opdracht uit te kunnen voeren. Daaronder vallen bijvoorbeeld naam, adres, telefoonnummer, e-mailadres van consument of medewerker. De categorieën van persoonsgegevens die verwerkt worden, worden opgenomen in een bijlage bij de verwerkersovereenkomst.

4. Geheimhouding

De verwerker is verplicht tot geheimhouding van de persoonsgegevens die hij van u ontvangt, tenzij een wettelijk voorschrift de verwerker tot mededelen verplicht. Verwerker waarborgt dat de degenen die onder zijn gezag persoonsgegevens verwerken, gebonden zijn aan geheimhouding. Dit geldt dus ook voor de door de verwerker ingeschakelde onderaannemers (zie hieronder bij sub-verwerkers).

5. Technische en organisatorische (beveiligings)maatregelen

De verwerker moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zorgen voor een adequaat niveau van bescherming. De door verwerker genomen beveiligingsmaatregelen worden omschreven in een bijlage bij de verwerkersovereenkomst of afzonderlijk vermeld op bijvoorbeeld de website van het bedrijf.

6. Privacyrechten betrokkenen

De verwerker zal alle medewerking verlenen om er voor te zorgen dat u kunt voldoen aan uw verplichtingen richting betrokkenen (dit zijn de klanten of medewerkers). U bent verantwoordelijk voor het informeren van betrokkenen en het reageren op verzoeken, zoals het verzoek tot inzage, rectificatie of wissen van persoonsgegevens. Indien een betrokkene de uitoefening van zijn/haar rechten rechtstreeks aan de verwerker richt, moet hij/zij dit verzoek naar u door sturen.

7. Recht op audit

U heeft periodiek het recht een geautoriseerde derde partij een controle uit te laten voeren om te checken of de verwerker voldoet aan de verplichtingen uit de AVG. Tenzij voor de betreffende dienst bijvoorbeeld een assurance-verklaring of certificering beschikbaar is.

8. Doorgifte

Zonder voorafgaande (schriftelijke) toestemming van u als opdrachtgever, is het de verwerker niet toegestaan persoonsgegevens te verwerken en/of door te geven aan derden in landen buiten de Europese Economische Ruimte.

9. Incidenten en datalekken

De verwerker is verplicht u zo spoedig mogelijk in kennis te stellen van een incident in verband met persoonsgegevens, zoals een datalek. De verwerker zal alle medewerking verlenen die in redelijkheid van verwerker kan worden verwacht om er voor te zorgen dat u kunt voldoen aan uw verplichtingen uit de AVG.

10. Sub-verwerkers

Indien de verwerker bepaalde werkzaamheden uitbesteedt aan zogenaamde sub-verwerkers, draagt de verwerker er zorg voor dat de sub-verwerker door een schriftelijke overeenkomst is gebonden aan tenminste dezelfde eisen als de verwerker zelf. Voor het inschakelen van een nieuwe sub-verwerker dient u volgens de wet toestemming te geven. In een bijlage wordt een overzicht van de huidige sub-verwerkers opgenomen.

Zie de afbeelding voor een mogelijke keten van (sub-)verwerkers en de gelijke afspraken die gemaakt moeten worden met betrekking tot de verwerking van persoonsgegevens.

11. Bewaren en vernietigen

De verwerker bewaart de persoonsgegevens minimaal gedurende de looptijd van de overeenkomst en zal de persoonsgegevens die hij ten behoeve van zijn werkzaamheden heeft ontvangen daarna indien mogelijk vernietigen dan wel aan u retourneren.

SRA heeft diverse standaard verwerkersovereenkomsten beschikbaar waarin de hierboven genoemde onderdelen zijn opgenomen. Heeft u hier belangstelling voor, neem dan contact met ons op.