Woordenboek

Verwerkersovereenkomst

Wat is een verwerkersovereenkomst?

Zodra een organisatie een derde partij inschakelt voor de verwerking van persoonsgegevens die zij hebben verzameld, moet op grond van de Algemene Verordening Gegevensbescherming (AVG) een verwerkersovereenkomst worden gesloten. Een verwerkersovereenkomst is een belangrijk document. In een verwerkersovereenkomst wordt namelijk afgesproken dat die derde partij zorgvuldig met de persoonsgegevens omspringt, en zich aan de afspraken houdt die de organisatie daarover met de betrokkenen heeft gemaakt.

Wanneer is een verwerkersovereenkomst verplicht?

Niet voor elke verwerking van persoonsgegevens hoeft een verwerkersovereenkomst te worden gesloten. Dat moet alleen als een verwerkingsverantwoordelijke een derde partij (de verwerker) inschakelt voor de verwerking van persoonsgegevens. De verwerkersovereenkomst wordt dan gesloten tussen de verwerkingsverantwoordelijke en de verwerker.

Wat is een verwerkingsverantwoordelijke?

Een verwerkingsverantwoordelijke is diegene die de persoonsgegevens verzamelt en daarvoor verantwoordelijk is. Dit kan zowel een persoon als een organisatie zijn.

De verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens. Daarbij moet het doel van de verwerking volgens de AVG ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ zijn. Denk bijvoorbeeld aan het opslaan (en dus verwerken) van iemands adresgegevens, zodat er een pakket aan huis bezorgd kan worden. Bij middelen moet u denken aan de software waarmee diezelfde adresgegevens opgeslagen en gecategoriseerd worden. Alleen degene die zowel het doel van als de middelen voor de verwerking bepaalt, wordt aangemerkt als verwerkingsverantwoordelijke.

Stel nu dat zo’n verwerkingsverantwoordelijke zijn klantenbestand in beheer geeft bij bijvoorbeeld een factureringsmaatschappij, dan wordt deze factureringsmaatschappij aangemerkt als verwerker. Op dat moment moeten de verwerkingsverantwoordelijke en de verwerker een verwerkersovereenkomst sluiten.

Let op: de verwerker hoeft dus geen verwerkersovereenkomst te sluiten met de individuele betrokkene (bijvoorbeeld een klant van de verwerkingsverantwoordelijke) wiens persoonsgegevens hij verwerkt.

Wat staat er dan in een verwerkersovereenkomst?

In de verwerkersovereenkomst worden onder meer afspraken gemaakt over:

  • het doel of de doelen waarvoor de persoonsgegevens worden verwerkt
  • de manier waarop de persoonsgegevens worden verwerkt
  • de duur van de verwerking
  • onder wiens verantwoordelijkheid de verwerking plaatsvindt
  • welke personen toegang hebben tot de persoonsgegevens
  • beveiligingsmaatregelen
  • geheimhouding
  • audits
  • aansprakelijkheid voor schade die het gevolg is van het niet naleven van de AVG of andere wet- of regelgeving
  • een eventueel (meldingsplichtig) datalek: hoe te handelen, wiens verantwoordelijkheid het is om het datalek te melden en wiens verantwoordelijkheid het is om een register van datalekken bij te houden
  • onder welke voorwaarden afspraken met andere verwerkers (ook wel ‘sub-verwerkers’ genoemd) mogen worden gemaakt
  • wat er met de persoonsgegevens gebeurt als de aan de verwerkersovereenkomst ten grondslag liggende opdracht wordt beëindigd (teruggeven of vernietigen)

Heeft u nog vragen, neem dan contact op met één van onze privacyrecht advocaten.