Verwerkersovereenkomst

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een contract tussen twee partijen waarin afspraken worden gemaakt over hoe persoonsgegevens worden verwerkt en beschermd. Dit contract is nodig wanneer een bedrijf (de verwerkingsverantwoordelijke) een ander bedrijf (de verwerker) inschakelt om persoonsgegevens voor hen te verwerken.

Verwerking van persoonsgegevens is iedere soort handeling (bijvoorbeeld verzamelen, opslaan, analyseren) met gegevens die een bepaalde persoon kunnen identificeren. Een persoon kan direct geïdentificeerd worden als bijvoorbeeld de naam wordt verwerkt, maar een persoon kan ook indirect geïdentificeerd worden, door bijvoorbeeld een telefoonnummer te verwerken. Alle informatie die gebruikt wordt op enige wijze, waarmee direct of indirect een persoon geïdentificeerd kan worden, valt dus onder gegevensverwerking van persoonsgegevens.

Wie zijn de 'verwerker' en de 'verwerkingsverantwoordelijke' in een verwerkersovereenkomst?

In de Algemene Verordening Gegevensbescherming (AVG) wordt onderscheid gemaakt tussen de verwerkingsverantwoordelijke en de verwerker.

Een verwerkingsverantwoordelijke is de persoon, het bedrijf of de overheidsinstantie die beslist dat persoonsgegevens worden verwerkt en bepaalt hoe de gegevensverwerking plaatsvindt.

Een verwerker is de persoon, bedrijf of overheidsinstantie die/dat de persoonsgegevensverwerking in opdracht van de verwerkingsverantwoordelijke daadwerkelijk uitvoert.

Bijvoorbeeld: een werkgever besteedt de personeelsadministratie uit. De werkgever is dan de verwerkingsverantwoordelijke, want hij beslist dat gegevens van zijn werknemers verwerkt worden en met welk doel en middel, en de onderneming die de personeelsadministratie doet, is de verwerker die ten behoeve van de verwerkingsverantwoordelijke de gegevensverwerking uitvoert.

Wat is het verschil tussen verwerkersovereenkomst en sub-verwerkersovereenkomst?

Als een verwerker (de partij die de gegevensverwerking uitvoert) een derde partij (de subverwerker) inschakelt om een deel van de gegevensverwerking uit te voeren, moeten deze verwerker en sub-verwerker een zogenaamde subverwerkersovereenkomst sluiten. De verwerker moet toestemming vragen aan de verwerkingsverantwoordelijke om een subverwerker in te schakelen en moet ervoor zorgen dat de subverwerker zich aan dezelfde regels houdt als in de oorspronkelijke verwerkersovereenkomst staan. In beide gevallen blijft de verwerkingsverantwoordelijke uiteindelijk verantwoordelijk voor de bescherming van de persoonsgegevens, maar de verwerker moet ervoor zorgen dat ook de subverwerker aan alle verplichtingen voldoet.

Is het verplicht om een verwerkersovereenkomst te hebben?

Als een verwerkingsverantwoordelijke een verwerker inschakelt bij het verwerken van persoonsgegevens is het altijd verplicht om een verwerkersovereenkomst te sluiten. Een verwerkersverantwoordelijke is in overtreding als hij samenwerkt met een verwerker zonder daar schriftelijke afspraken over te maken. Zonder overeenkomst kan namelijk niet aangetoond worden dat de verwerker de persoonsgegevens volgens de regels van de Algemene Verordening Gegevensbescherming (AVG) beschermt. Daarnaast is ook de verwerker in overtreding als een verwerkersovereenkomst ontbreekt. Zonder verwerkersovereenkomst kan de verwerker zich niet beroepen op de grondslag waarop de verwerkingsverantwoordelijke de persoonsgegevens verwerkt. Beide partijen zijn dus aansprakelijk als een verwerkersovereenkomst ontbreekt.

Wat is niet toegestaan in een verwerkersovereenkomst?

Het is in een verwerkersovereenkomst niet toegestaan om bepalingen op te nemen die in strijd zijn met de Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat bepalingen die de beveiliging van persoonsgegevens onvoldoende waarborgen, niet zijn toegestaan. Ook mag de verwerker geen toestemming krijgen om persoonsgegevens voor eigen doeleinden te gebruiken. De AVG bepaalt dat gegevens alleen mogen worden verwerkt voor de specifieke doelen die zijn vastgesteld door de verwerkingsverantwoordelijke, en het toestaan van andere doeleinden betekent een overtreding van de wet. Daarnaast is het belangrijk dat de verwerkersovereenkomst afspraken bevat over de rechten van de personen waarvan de persoonsgegevens worden verwerkt. Bijvoorbeeld afspraken over het recht op inzage, de verwijdering van hun gegevens en hoe een datalek gemeld kan worden. Als deze informatie niet in de overeenkomst staat, kan dit in strijd zijn met de AVG.

Wat kan de duur van een verwerkersovereenkomst zijn?

De verwerkersovereenkomst wordt aangegaan voor de duur van de onderliggende hoofdovereenkomst. Deze hoofdovereenkomst is bijvoorbeeld de overeenkomst waarin een werkgever zijn personeelsadministratie uitbesteedt. Om dit te kunnen verwezenlijken moet het bedrijf dat de personeelsadministratie gaat doen persoonsgegevens verwerken, waarvoor de verwerkersovereenkomst werd aangegaan. Als deze hoofdovereenkomst eindigt, eindigt daarmee ook de mogelijkheid van de verwerker voor de verwerking van deze persoonsgegevens, en eindigt dus de verwerkersovereenkomst.

Mocht de verwerker na het beëindigen van de hoofdovereenkomst toch nog persoonsgegevens van de verwerkingsverantwoordelijke verwerken, blijven de voorwaarden van de verwerkersovereenkomst van toepassing op het verwerken van deze persoonsgegevens.

Wat moet er gedaan worden nadat een verwerkersovereenkomst is opgesteld?

Na het opstellen van de verwerkersovereenkomst dienen de verwerkingsverantwoordelijke en de verwerker deze te ondertekenen om de afspraken formeel te maken. Zowel de verwerkingsverantwoordelijke als de verwerker dienen een ondertekend exemplaar van de overeenkomst te bewaren voor hun administratie. De overeenkomst dient als bewijs van de afspraken en kan worden gebruikt om geschillen op te lossen mochten die ontstaan. Daarnaast is het belangrijk om de afspraken na te komen zoals vastgelegd in de overeenkomst. Ook is het belangrijk dat alle relevante bijlagen aan de overeenkomst worden toegevoegd.

Welke documenten moeten als bijlage bij een verwerkersovereenkomst worden toegevoegd?

Het is verplicht om aan de overeenkomst een bijlage toe te voegen met de volgende informatie met betrekking tot de persoonsgegevensverwerking:

• onderwerp en de duur van de verwerking;
• de aard en het doel van de verwerking;
• het soort persoonsgegevens die verwerkt worden;
• de categorieën van betrokkenen;
• de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Wat moet een verwerkersovereenkomst bevatten?

Een verwerkersovereenkomst moet de volgende informatie bevatten:

• de instructies van de verwerkingsverantwoordelijke aan de verwerker over het gebruik van de persoonsgegevens;
• een geheimhoudingsplicht voor de verwerker en zijn werknemers;
• de beveiligingsmaatregelen die de verwerker moet treffen;
• de regels omtrent het inschakelen van sub-verwerkers (derden die zijn ingeschakeld om de verwerking uit te voeren voor de verwerker);
• de hulp van de verwerker in het geval dat een betrokkene van wie gegevens verzameld zijn, zijn privacy rechten wil uitoefenen (het inzien, verwijderen, wijzigen etc. van de gegevens);
• wanneer de gegevens door de verwerker gewist of teruggegeven moeten worden aan het einde van de verwerking door de verwerker, en op welke wijze;
• de medewerking van de verwerker aan inspecties en dergelijken om te controleren of hij zich aan zijn verplichtingen als verwerker houdt.

Welke wetten zijn van toepassing op verwerkersovereenkomst?

Op de verwerkersovereenkomst zijn de Verordening (EU) 2016/679 van het Europees Parlement en de Raad (Algemene Verordening Gegevensbescherming), de Uitvoeringswet Algemene verordening gegevensbescherming en Boek 6 Burgerlijk Wetboek van toepassing.

Het model bewerken?

U vult een formulier in. Het document wordt naargelang uw antwoorden per sectie opgemaakt.

Aan het einde ontvangt u het in de formaten Word en PDF. U kunt het bewerken en het opnieuw gebruiken.