Als twee of meerdere partijen dezelfde persoonsgegevens gaan verwerken, moeten zij hierover afspraken maken. Als er in ieder geval één verwerkingsverantwoordelijke is en één verwerker, dan moet er tussen deze partijen een verwerkersovereenkomst gesloten te worden. Eerst dienen de partijen gekwalificeerd te worden en vervolgens kan je aan de slag gaan met de verwerkersovereenkomst. Wat hierin moet staan? Dat bespreek ik in deze blog.

Wat is een verwerkersovereenkomst?

Uit artikel 28 van de Algemene Verordening Gegevensbescherming (AVG) blijkt de verplichting om een verwerkersovereenkomst te sluiten. Als een verwerkingsverantwoordelijke een andere partij inschakelt om persoonsgegevens te verwerken, moet er een juridisch bindende overeenkomst worden opgesteld. Dit is zowel een verplichting voor de verwerkingsverantwoordelijke als voor de verwerker. Met deze overeenkomst zorgen partijen ervoor dat de verwerking gereguleerd wordt. De verwerkingsverantwoordelijke houdt controle over de persoonsgegevens en de verwerker neemt maatregelen om de gegevens te beschermen. De verwerkingsverantwoordelijke blijft verantwoordelijk voor de naleving van de AVG, zelfs als de verwerking wordt uitbesteed.

 

Wat moet er in een verwerkersovereenkomst staan?

Wat er in een verwerkersovereenkomst moet staan blijkt uit artikel 28 AVG. Daarnaast worden er vaak ook nog andere bepalingen toegevoegd aan de verwerkersovereenkomst, omdat partijen aanvullende afspraken willen maken. Hier staan we stil bij wat er in een verwerkersovereenkomst móet staan.

Schriftelijke instructies

Uit de verwerkersovereenkomst moet duidelijk naar voren komen dat de verwerker de persoonsgegevens alleen mag verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Dit geldt bijvoorbeeld voor doorgiften van persoonsgegevens aan een derde land of een internationale organisatie.

Vertrouwelijkheid

In de verwerkersovereenkomst moet worden gewaarborgd dat de verwerkers en eventuele subverwerkers zich ertoe hebben verbonden met betrekking tot de persoonsgegevens vertrouwelijkheid in acht te nemen.

Technische en organisatorische maatregelen

De verwerker moet passende technische en organisatorische maatregelen treffen. De maatregelen moeten een beveiligingsniveau garanderen dat is afgestemd op de risico’s en de aard van de te beschermen gegevens. Wat dit precies inhoudt is dus afhankelijk van de omstandigheden.

Gebruik van subverwerkers

De verwerker mag geen subverwerkers inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. Hoe de toestemming wordt geregeld wordt opgenomen in de verwerkersovereenkomst. Als de verwerker een algemene schriftelijke toestemming heeft, informeert hij de verwerkingsverantwoordelijke over geplande veranderingen met betrekking tot het toevoegen of vervangen van andere verwerkers. 

Bijstandsplichten

De verwerker is in beginsel verplicht om de verwerkingsverantwoordelijke te helpen bij het nemen van passende technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen. Daarnaast moet de verwerker de verwerkingsverantwoordelijke ondersteunen bij het nakomen van de verplichting om inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit en de betrokkenen te melden. Verder moet de verwerker de verwerkingsverantwoordelijke helpen bij het uitvoeren van gegevensbeschermingseffectbeoordelingen wanneer dat nodig is, en bij het raadplegen van de toezichthoudende autoriteit als uit het resultaat blijkt dat er een hoog risico bestaat dat niet kan worden beperkt. De verwerkingsverantwoordelijke blijft verantwoordelijk voor het naleven van deze verplichtingen.

Beëindiging van de verwerking

De verwerker is verplicht alle persoonsgegevens te wissen of terug te geven aan de verwerkingsverantwoordelijke na het einde van de verwerkingsdiensten. Verdere opslag van gegevens is alleen toegestaan als dit wettelijk verplicht is.

Audits en inspecties

De verwerkingsverantwoordelijke heeft het recht om audits en inspecties uit te voeren om naleving te waarborgen. De verwerker moet medewerking verlenen aan deze audits en inspecties. Hoe vaak en onder welke voorwaarden deze audits moeten en mogen worden uitgevoerd moet worden opgenomen in de verwerkersovereenkomst.

 

Waar moet je als verwerkingsverantwoordelijke op letten bij het sluiten van een verwerkersovereenkomst?

Als je als verwerkingsverantwoordelijke een verwerkersovereenkomst sluit, is het belangrijk om na te gaan of duidelijk uit de overeenkomst blijkt hoe je wil dat de persoonsgegevens verwerkt worden. Je bent als verwerkingsverantwoordelijke namelijk verantwoordelijk voor de verwerking. Als deze niet juist wordt uitgevoerd, doordat de instructies onduidelijk waren, komt dit dus vaak voor jouw rekening.

Zorg voor duidelijke instructies

Verstrek gedetailleerde en gedocumenteerde instructies aan de verwerker om ervoor te zorgen dat de verwerking conform jouw richtlijnen en de wettelijke vereisten plaatsvindt.

Beoordeel de bveiligingsmaatregelen

Evalueer of de door de verwerker genomen beveiligingsmaatregelen voldoende zijn om de persoonsgegevens te beschermen tegen inbreuken.

Controleer subverwerkers

Houd toezicht op de inzet van subverwerkers en vraag naar bewijzen van naleving van de AVG door deze subverwerkers. Let er ook op of de subverwerkers zich bevinden buiten de Europese Economische Ruimte. In dat geval dienen er wellicht aanvullende maatregelen genomen te worden.

Voer regelmatige audits uit

Plan periodieke audits en inspecties in om te controleren of de verwerker zich aan de afspraken houdt en passende maatregelen treft.

 

Waar moet je als verwerker op letten bij het sluiten van een verwerkersovereenkomst?

Ondanks dat de verwerkingsverantwoordelijke in veel gevallen verantwoordelijk is voor de verwerking, kan je als verwerker aansprakelijk gesteld worden voor het niet (juist) nakomen van de verwerkersovereenkomst. Daarnaast gelden er ook verplichtingen voor de verwerker op basis van de AVG. Let hier dus op bij het sluiten van een verwerkersovereenkomst.

Instructies van de verwerkingsverantwoordelijke

Zorg ervoor dat alle verwerkingen uitsluitend volgens de instructies van de verwerkingsverantwoordelijke plaatsvinden. Twijfels? Vraag dan aan de verwerkingsverantwoordelijke wat precies de bedoeling is.

Documenteer je beveiligingsmaatregelen

Houd gedetailleerde documentatie bij van de technische en organisatorische beveiligingsmaatregelen die je treft om aan te tonen dat je voldoet aan de AVG. Allereerst moet je deze namelijk opgeven in de verwerkersovereenkomst. Daarnaast kan het ook zo zijn dat je later zal moeten verantwoorden dat je gepaste beveiligingsmaatregelen hebt genomen.

Subverwerkers

Informeer de verwerkingsverantwoordelijke over het inschakelen van subverwerkers en zorg ervoor dat de subverwerkers, voor zover mogelijk, aan dezelfde verplichtingen worden gehouden als dat jij wordt.

Meld datalekken op tijd

Stel een procedure op voor het snel melden van datalekken aan de verwerkingsverantwoordelijke (een zogenaamd datalekkenbeleid) en zorg voor een duidelijke communicatieketen.

 Ondersteuning en samenwerking

Werk samen met de verwerkingsverantwoordelijke bij het nakomen van verplichtingen zoals gegevensbeschermingseffectbeoordelingen en het voldoen aan verzoeken van betrokkenen. Let wel op dat er niet meer van je wordt gevraagd dan redelijk is. Er kunnen praktische redenen zijn of verplichtingen op basis van de wet die eraan in de weg staan dat de verwerker zijn medewerking kan of wil verlenen.

Conclusie

Een goed opgestelde verwerkersovereenkomst is belangrijk voor het naleven van de AVG en het waarborgen van de privacy en beveiliging van persoonsgegevens. Zowel verwerkingsverantwoordelijken als verwerkers moeten hun rol en verantwoordelijkheden begrijpen en naleven voor een effectieve gegevensbescherming. Door aandacht te besteden aan de bovengenoemde elementen en aandachtspunten, kunnen beide partijen zich beter beschermen tegen juridische en operationele risico’s. Vragen over een verwerkersovereenkomst? Stel ze mij gerust!