Ondernemingen schakelen vaak organisaties in om voor hen Persoonsgegevens te verwerken. Volgens de AVG is in zulke gevallen de verwerkersovereenkomst verplicht. Als partijen deze niet afsluiten, zijn ze in overtreding. Ondernemers komen deze overeenkomst dus veel tegen in de praktijk. Een goede verwerkersovereenkomst afsluiten is daarom zeker belangrijk.
Spring snel naar:
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is verplicht als iemand anders Persoonsgegevens verwerkt voor jouw onderneming. Dit is bijvoorbeeld het geval wanneer je als onderneming een salarisadministratiekantoor gebruikt. In de verwerkersovereenkomst spreken de partijen af hoe ze de Persoonsgegevens verwerken.
De verwerkersovereenkomst wordt ook wel ‘data processing agreement’ genoemd of ‘bewerkersovereenkomst’. De data processing agreement is de Engelse term. De bewerkersovereenkomst is de oude benaming uit de Wet Bescherming Persoonsgegevens. Al met al betekenen deze termen hetzelfde.
Partij bij de verwerkersovereenkomst: ben je verwerkingsverantwoordelijke of verwerker?
De verwerkersovereenkomst kent twee partijen. Allereerst de verwerkingsverantwoordelijke (ook wel: verantwoordelijke). Daarnaast de (sub) verwerker. Het is belangrijk om goed onderscheid te maken tussen deze twee partijen.
Allereerst omdat een verwerker (of een sub-verwerker) hele andere werkzaamheden verricht dan de verantwoordelijke. Daarnaast omdat de verantwoordelijke en verwerker op grond van de AVG verschillende plichten hebben.
De verwerkingsverantwoordelijke heeft bijvoorbeeld de plicht om voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit te voeren. Dit hoeft de verwerker niet te doen.
Wat doet de verwerkingsverantwoordelijke?
Een verwerkingsverantwoordelijke bepaalt hoe en waarom de Persoonsgegevens worden verwerkt. Een bedrijf houdt bijvoorbeeld met als doel: salarisadministratie, Persoonsgegevens bij. Denk bijvoorbeeld aan iemands naam en bankrekeningnummer. Dit bedrijf is dan verwerkingsverantwoordelijke.
Wat doet de verwerker?
Een verwerker krijgt opdracht van de verantwoordelijke en verwerkt vervolgens de Persoonsgegevens. Een verwerker is bijvoorbeeld het salarisadministratiekantoor die in opdracht van het bedrijf de uiteindelijke salarisadministratie regelt. Omdat dit kantoor de administratie regelt, verwerkt het Persoonsgegevens voor de onderneming.
Er kan ook nog een sub-verwerker zijn. Deze partij verwerkt namens de verwerker de Persoonsgegevens.
Wie moet de verwerkersovereenkomst opstellen?
Welke partij de overeenkomst opstelt, maakt niet uit. Zowel de verantwoordelijke als de verwerker mag dit doen. Uiteindelijk moeten partijen het eens zijn met de gemaakte afspraken.
De partij die de overeenkomst opstelt, kan deze naar eigen hand zetten. Vooral grote bedrijven hebben de overeenkomst vaak al klaarliggen. Het is daarom belangrijk om deze goed door te lezen. Zo ontdek je of de andere partij de overeenkomst te veel in haar voordeel heeft opgesteld.
Wat moet in de verwerkersovereenkomst staan?
De AVG eist dat de overeenkomst ten minste vijf onderwerpen bevat. Allereerst regelt de overeenkomst het onderwerp van verwerking. Daarnaast de tijdsduur van de verwerking. Bovendien het soort Persoonsgegevens dat wordt verwerkt. Tot slot noemt het de betrokken persoonsgroepen op en de rechten en plichten van de verantwoordelijke.
Hieronder vind je per onderwerp een korte toelichting.
1. Het onderwerp van de verwerking.
Het onderwerp is bijvoorbeeld salarisinformatie. Het kan ook gaan om bijvoorbeeld Persoonsgegevens voor het boeken van zakenreizen.
2. De duur van de verwerking.
Hoe lang ga je de gegevens verwerken? Bijvoorbeeld gedurende 1 maand of 2 jaar.
3. Het soort Persoonsgegevens dat wordt verwerkt.
Het gaat hierbij niet alleen om specifieke gegevens zoals medische gegevens of adresgegevens. Ook algemene gegevens zoals naam, e-mailadres of geboortedatum zijn Persoonsgegevens.
4. De categorieën van betrokkenen.
Hieronder kunnen verschillende groepen vallen. Het kan bijvoorbeeld gaan om groepen zoals personeel, bezoekers van een evenement, patiënten of klanten.
5. De rechten en plichten van de verwerkingsverantwoordelijke.
In de overeenkomst moet bijvoorbeeld staan dat de verantwoordelijke in het geval van een datalek melding doet bij de Autoriteit Persoonsgegevens.
Hulp nodig?
Kortom, het opstellen of ondertekenen van een verwerkersovereenkomst kan best lastig zijn. Krijg je een overeenkomst onder je neus en weet je niet of je verantwoordelijke of verwerker bent? Of denk je dat de overeenkomst nadelig is voor jou? Wij helpen graag. Twijfel daarom ook niet om contact op te nemen met één van onze specialisten!
Esmée Piening
Advocaat