De verwerkersovereenkomst: wie, wat en hoe?

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 3 in een reeks blogs over de nieuwe privacywetgeving.

De verwerkersovereenkomst: wie, wat en hoe? - Valegis Advocaten

De verwerkersovereenkomst is niets nieuws onder de zon: ook de huidige privacywetgeving (de Wet bescherming persoonsgegevens, Wbp) stelt een dergelijke overeenkomst verplicht. We kennen deze overeenkomst op dit moment onder de naam bewerkersovereenkomst, per 25 mei 2018 zal de nieuwe naam verwerkersovereenkomst zijn.

Maar wat moet nu in een dergelijke overeenkomst staan, met wie moet het afgesloten worden en in welke vorm moet het gegoten worden?

Verantwoordelijke – verwerker

De naam zegt het al, u hoeft alleen een verwerkersovereenkomst af te sluiten met een verwerker. Maar wie is nu een verwerker? De verwerker is degene (bedrijf/organisatie/persoon) die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan het rechtstreeks gezag van de verantwoordelijke te zijn onderworpen. Denk bijvoorbeeld aan het IT-bedrijf dat uw netwerk beheert.

Indien u zelf een verantwoordelijke bent, zult u met uw verwerkers verwerkersovereenkomsten moeten afsluiten. Maar bent u wel een verantwoordelijke? U bent verantwoordelijke wanneer u het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt. Bijvoorbeeld wanneer u als werkgever de gegevens van uw medewerkers verzamelt en bewaart.

Do: controleer of u zelf een verantwoordelijke bent en of uw contractuele wederpartij een verwerker is (of andersom). Indien het bedrijf dat u inschakelt geen verwerker is, maar bijvoorbeeld een medeverantwoordelijke, dan zult u andere afspraken moeten maken en kunt u geen gebruik maken van een verwerkersovereenkomst.

De inhoud van de verwerkersovereenkomst

De volgende informatie moet vanaf 25 mei 2018 in elk geval in de verwerkersovereenkomst staan:

– Onderwerp en duur van de verwerking
– Aard en doel van de verwerking
– Het soort persoonsgegevens en de categorieën betrokkenen
– De rechten en verplichtingen van de verwerkingsverantwoordelijke

Verder dienen bepalingen opgenomen te worden over onder meer vertrouwelijkheid, beveiliging, sub-verwerkers, de rechten van betrokkenen, het wissen van gegevens en audits.

Do: ga na wat uw eigen verplichtingen zijn onder de AVG en kijk in hoeverre de verwerkersovereenkomst u helpt bij het nakomen van deze verplichtingen. Is er bijvoorbeeld sprake van een datalek bij de verwerker, dan zult u hier zo spoedig mogelijk van op de hoogte moeten zijn. Zorg dat dit soort zaken vastgelegd zijn in de verwerkersovereenkomst.

Schriftelijke vorm

De AVG bepaalt dat de verwerkersovereenkomst in schriftelijke vorm moet zijn opgesteld. Dit mag ook elektronisch zijn. Verdere eisen stelt de AVG niet aan de vorm. De AVG vereist dan ook niet dat sprake moet zijn van een afzonderlijk document. Het is dus mogelijk een verwerkersovereenkomst in een algemene dienstverleningsovereenkomst op te nemen, zolang de privacy bepalingen voldoende duidelijk en volledig zijn. Het kan evenwel handig zijn om een afzonderlijke overeenkomst af te sluiten, nu de verwerkersovereenkomst mogelijk gedeeld moet worden met de Autoriteit Persoonsgegevens of andere derden.

Do: zorg ervoor dat u met al uw verwerkers verwerkersovereenkomsten afsluit en zorg ervoor dat u deze overeenkomsten zorgvuldig bewaart. U zult immers moeten kunnen aantonen dat u aan al uw verplichtingen onder de AVG voldoet.

Hebt u nog vragen over dit onderwerp of wilt u hulp bij het opstellen van een verwerkersovereenkomst? Het privacyrecht team van Valegis Advocaten is u graag van dienst.

Dit artikel is geschreven door Andrea de Ruijter.

De functionaris voor Gegevensbescherming; rol, taken en bevoegdheden - Valegis Advocaten