Waarom een verwerkersovereenkomst nodig is volgens de AVG

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een schriftelijke overeenkomst tussen jou als verwerkingsverantwoordelijke en een verwerker die persoonsgegevens verwerkt. Volgens de Algemene Verordening Gegevensbescherming (AVG) ben je wettelijk verplicht om deze overeenkomst als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker (derde partij).

In deze overeenkomst staan de afspraken over hoe de verwerker omgaat met de persoonsgegevens, welke beveiligingsmaatregelen worden getroffen, en welke verantwoordelijkheden de verwerker heeft. Het doel is om de persoonsgegevens die verwerkt worden te beschermen en te zorgen dat dit gebeurt volgens de AVG. De Autoriteit Persoonsgegevens controleert of dit daadwerkelijk gebeurt.

Wanneer is een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst is wettelijk verplicht volgens de AVG wet. Dit zorgt ervoor dat je als verwerkingsverantwoordelijke controle hebt over hoe de persoonsgegevens worden verwerkt door de verwerker. De Autoriteit Persoonsgegevens kan controleren of je voldoet aan de AVG, en zonder verwerkersovereenkomst riskeer je boetes. Een verwerkersovereenkomst biedt ook bescherming voor de betrokkenen wiens gegevens worden verwerkt, doordat het passende waarborgen vastlegt voor de verwerking.

Bovendien zorgt het ervoor dat de verwerker de gegevens niet voor eigen doeleinden gebruikt en dat de verwerking alleen plaatsvindt volgens jouw instructies. Dit is vooral belangrijk wanneer persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt, omdat de AVG specifieke eisen stelt aan doorgifte naar derde landen.

Wat moet er in een verwerkersovereenkomst staan?

Een verwerkersovereenkomst moet duidelijk specificeren welke persoonsgegevens worden verwerkt en voor welke doeleinden. Daarnaast moet de overeenkomst een algemene beschrijving geven van de verwerking en de categorieën van betrokkenen. Je moet ook afspraken maken over passende technische en organisatorische beveiligingsmaatregelen om de gegevens te beschermen. Dit omvat regelmatige beveiligingstesten, audits, en het treffen van maatregelen om datalekken te voorkomen.

De verwerker moet wettelijk verplicht zijn om instructies van jou als verwerkingsverantwoordelijke op te volgen en mag de gegevens niet voor eigen doeleinden gebruiken. Daarnaast moet de verwerker eventuele subverwerkers alleen inschakelen met jouw toestemming en moet hij ervoor zorgen dat dezelfde verplichtingen in de subverwerkersovereenkomst staan. Tot slot moet de verwerkersovereenkomst bepalingen bevatten over de doorgifte van gegevens naar derde landen, waarbij de passende waarborgen voor gegevensbescherming worden gegarandeerd.

Wat is een subverwerkersovereenkomst?

Een subverwerkersovereenkomst is een aanvullende overeenkomst naast de standaard verwerkersovereenkomst die je afsluit wanneer jouw verwerker een andere partij, de subverwerker die de verwerker ondersteunt, inschakelt om persoonsgegevens te verwerken. Net als de verwerkersovereenkomst moet de subverwerkersovereenkomst voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Je moet ervoor zorgen dat de subverwerker dezelfde verplichtingen en beveiligingsmaatregelen volgt als de oorspronkelijke verwerker.

Stappen voor een verwerkersovereenkomst opstellen

Het opstellen van een verwerkersovereenkomst begint met het identificeren van de betrokkenen en de verwerkingsverantwoordelijken. Verzamel alle relevante informatie over de verwerking van persoonsgegevens en leg deze vast in een verwerkingsregister. Het is belangrijk om duidelijke instructies te formuleren voor de verwerker, zodat persoonsgegevens alleen worden verwerkt volgens jouw richtlijnen.

Leg vast dat de verwerker passende technische en organisatorische maatregelen treft om de verwerking te beveiligen. Dit omvat permanente informatiebeveiliging en regelmatige beveiligingstesten. Controleer ook of de verwerker subverwerkers inschakelt en zorg dat dezelfde verplichtingen in de subverwerkersovereenkomst staan.

Verwerkingsregister: register van verwerkingen

Als werkgever ben je verplicht om een register van verwerkingen bij te houden waarin je alle verwerkingen van persoonsgegevens documenteert. Dit register bevat gedetailleerde informatie over welke persoonsgegevens worden verwerkt, de doeleinden van de verwerking, en de categorieën van betrokkenen.

Daarnaast moet je in het verwerkingsregister opnemen welke technische en organisatorische beveiligingsmaatregelen je hebt getroffen om de persoonsgegevens te beschermen. Dit omvat onder andere regelmatige beveiligingstesten en audits. Het register helpt je om overzicht te houden en te zorgen dat je voldoet aan de AVG.

Bewaartermijnen verwerkersovereenkomst

In de verwerkersovereenkomst moet je duidelijk aangeven hoe lang de persoonsgegevens mogen worden bewaard en welke maatregelen de verwerker wettelijk verplicht is te nemen om de gegevens te vernietigen na afloop van de bewaartermijn.

Je moet ervoor zorgen dat de persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden verwerkt. Dit betekent dat je regelmatig moet evalueren of de gegevens nog relevant zijn en de overeenkomst bijwerken indien nodig. Bespreek met de verwerker welke procedures er zijn voor het veilig verwijderen van gegevens.

Privacy schending

Een privacy schending kan ernstige gevolgen hebben voor jouw organisatie en de betrokkenen. Het is belangrijk om maatregelen te treffen om te voorkomen dat persoonsgegevens onrechtmatig worden verwerkt of in verkeerde handen vallen. Als verwerkingsverantwoordelijke ben je wettelijk verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen.

Bij een privacy schending moet je direct actie ondernemen. Informeer de Autoriteit Persoonsgegevens en de betrokkenen zo snel mogelijk. Zorg dat je een duidelijk plan hebt voor het omgaan met datalekken, inclusief regelmatige beveiligingstesten en audits om zwakke punten in je systemen te identificeren.

Conclusie

Het opstellen van een verwerkersovereenkomst is een belangrijke stap om te voldoen aan de AVG. Door duidelijke afspraken te maken met de verwerker over de verwerking van persoonsgegevens, bescherm je de privacy van betrokkenen en voldoe je aan de wettelijke verplichtingen. Zorg ervoor dat de genoemde verplichtingen en getroffen technische en organisatorische beveilingsmaatregelen duidelijk in de overeenkomst staan.

Vergeet niet om ook aandacht te besteden aan subverwerkers en zorg dat zij aan dezelfde regels voldoen. Door de juiste stappen te volgen, kun je een solide verwerkersovereenkomst maken die voldoet aan alle eisen. De volgende onderwerpen kunnen je hierbij helpen: het verwerkingsregister, bewaartermijnen, en de controle op naleving.