3apr, 18
VANDIJK advocaten - De Algemene Verordening Gegevensbescherming/General Data Protection Regulation : Verwerkersovereenkomst (deel 7) (mr. Ynke M.M. Ooykaas)

In de reeks artikelen over de AVG/GDPR zijn al aan de orde gekomen het doel, de achtergrond, de definitie van persoonsgegevens, het gebruik, de expliciete toestemming die nodig is voor het verwerken van persoonsgegevens, de andere gronden op basis waarvan u persoonsgegevens mag gebruiken, de bijzondere persoonsgegevens en de bewaartermijnen. In deze aflevering ga ik het hebben over een meer specifiek onderwerp, te weten “de verwerkersovereenkomst”. Wat is een verwerkersovereenkomst, wanneer moet u deze overeenkomst afsluiten en wat moet erin staan?

Als het gaat om het verwerken van persoonsgegevens dan is er
a. iemand die de persoonsgegevens heeft
b. graag wil dat iemand anders er iets mee doet.
De persoon die de persoonsgegevens heeft, noemen we de verwerkingsverantwoordelijke. Dit zal vaak de opdrachtgever zijn. De persoon die de persoonsgegevens krijgt aangereikt om er iets mee te doen (bijvoorbeeld een salarisadministratie, reclamebureau, accountant) heet de verwerker. Vaak zal dit een dienstverlener zijn die iets met de persoonsgegevens doet in opdracht van de opdrachtgever.

De AVG stelt veel eisen aan de verwerkingsverantwoordelijke en de manier waarop deze omgaat met persoonsgegevens. Het is de bedoeling dat deze zorgvuldige wijze van handelen wordt doorgegeven aan iedereen in de keten die met persoonsgegevens werkt. Daarom is iedereen die iemand anders inschakelt voor de verwerking van persoonsgegevens, verplicht een verwerkersovereenkomst te sluiten.

Wat moet er geregeld worden in een verwerkingsovereenkomst:

  • Er moet een schriftelijke overeenkomst zijn tussen verwerkingsverantwoordelijk en verwerker (de verwerker mag alleen handelen op basis van een schriftelijke opdracht) waarin staat wat er gedaan wordt en waarom.
  • De verwerker moet schriftelijk vooraf aan de verwerkingsverantwoordelijke aangeven of hij weer derden inschakelt voor de verwerking van de gegevens. Hiervoor moet de verwerkingsverantwoordelijke per ingeschakelde derde schriftelijk toestemming geven (een algemene toestemming voor inschakeling van derden mag ook).
  • Als er derden worden ingeschakeld, moeten deze in Nederland of de EU zijn gevestigd. Doorgifte aan derden buiten de EU van de persoonsgegevens mag als hoofdregel niet.
  • De verwerker moet ervoor zorgen dat iedereen die onder zijn verantwoordelijkheid met de persoonsgegevens werkt (personeel, ZZP e.d.) vertrouwelijk met de gegevens omgaat (op dezelfde wijze als de verwerker dat doet).
  • De verwerker moet ervoor zorgen dat de persoonsgegevens die hij onder zich heeft, goed beveiligd Denk hierbij aan het versleutelen van gegevens, waarborgen dat gegevens niet permanent verloren gaan bij een incident, testen en evalueren van beveiliging.
  • De verwerker heeft een Hij moet een register bijhouden van alle soorten verwerkingsactiviteiten die zijn verricht (hierover onderstaand meer).
  • De verwerker moet aangeven wat er gebeurd als de opdracht is vervuld; worden de gegevens bewaard (zo ja: waar en hoe lang), gewist e.a..

Het verwerkingsregister

U bent verplicht een verwerkingsregister bij te houden als uw bedrijf meer dan 250 personen in dienst heeft of als uw bedrijf:

  1. risicovolle werkingen doet met persoonsgegevens (bijv. opstellen klantprofielen of het verwerken van veel data) of
  2. structureel persoonsgegevens verwerkt of
  3. gevoelige gegevens verwerkt.

In het register moet staan:

  • naam en adres van de persoon die verantwoordelijk is voor de gegevensbescherming;
  • doel van verwerking;
  • soorten gegevens (NAW, betaalgegevens, contactgegevens e.a.);
  • wie is betrokken bij de gegevens (personeel, inleners, klanten, websitebezoekers);
  • aan wie worden de persoonsgegevens verder verstrekt en waar zijn deze derden gevestigd;
  • hoelang worden de gegevens bewaard;
  • hoe zijn de gegevens beveiligd.

Een verwerkingsovereenkomst kan een aparte overeenkomst zijn maar dat hoeft niet. U kunt hierover ook iets opnemen in de algemene voorwaarden of een Service Level Agreement. Een verwerkersovereenkomst hangt net als de algemene voorwaarden samen met de hoofdovereenkomst.

y.ooykaas@vandijkadvocaten.nl

Meer informatie? Neem contact met ons op!