Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een overeenkomst die een
verwerker en een verwerkingsverantwoordelijke met elkaar af moeten sluiten.
Dit
is een verplichting wanneer je met elkaar een samenwerking aan gaat. Zowel de
verwerker als verwerkingsverantwoordelijke zijn strafbaar wanneer ze samenwerken
zonder verwerkersovereenkomst. Als organisatie schakel je een verwerker in
wanneer je een bedrijf inschakelt om je gegevens in een cloud te zetten, het
verwerken van persoonsgegevens of het uitbesteden van de administratie. Er is
dan al sprake van een verwerker en verwerkingsverantwoordelijke. De verwerker
is het bedrijf of de persoon die de gegevens krijgt voor doeleinden zoals het
uitvoeren van de administratie. De verwerkingsverantwoordelijke is het bedrijf
of de persoon dat de gegevens ‘uitleent’ voor die doeleinden. Wanneer je de
gegevens doorgeeft aan een verwerker blijf je verwerkingsverantwoordelijk en
dus verantwoordelijk voor wat er met die gegevens gebeurd en wie er inzage in
heeft. Daarom moet je ervoor zorgen dat je voldoet aan de algemene verordening
persoonsgegevens (AVG). Eén van de dingen die zijn opgenomen in de AVG is dat
je als verwerker én verwerkingsverantwoordelijke een verwerkersovereenkomst
moet hebben. Wanneer je geen verwerkersovereenkomst hebt en je besteed gegevens
uit naar een derde voor doeleinden, of je verwerkt gegevens van iemand anders,
dan riskeer je een boete die kan oplopen tot tien miljoen euro. Een
verwerkersovereenkomst kun je laten opstellen via https://www.rocketlawyer.com/nl/nl/documenten/verwerkersovereenkomst.

Wat staat er in een verwerkersovereenkomst?

De verwerkersovereenkomst is een schriftelijke overeenkomst
die verplicht is gesteld in art.28 lid 3 AVG. Er zijn een aantal onderwerpen
die standaard in een verwerkersovereenkomst aan bod moeten komen:

  • Omschrijving van de werkzaamheden (welke gegevens worden
    gedeeld, waarvoor, voor hoe lang)
  • Instructies voor het verwerken van de gegevens
  • Geheimhoudingsplicht
  • Hoe de gegevens beveiligd worden
  • Verbod tot uitbesteding van de gegevens door de verwerker (tenzij met
    toestemming)
  • Recht op privacy
  • Overige verplichtingen, zoals bijvoorbeeld het melden van datalek door
    verwerker
  • Hoe de gegevens weer verwijderd worden

Voor de autoriteit persoonsgegevens is uiteindelijk leidend
wat er feitelijk gebeurd. Wanneer de verwerkersovereenkomst AVG technisch goed
is, maar de feitelijke werkzaamheden wijken af, dan is dat laatste
doorslaggevend. In de overeenkomst mogen geen regels staan die in strijd zijn
met de AVG. Wanneer je er als verwerkingsverantwoordelijke en verwerker niet
uit komt qua overeenkomst, moet je overwegen niet te gaan samenwerken. Het
alternatief, werken zonder overeenkomst, is een overtreding waar hoge boetes op
staan. Ook wanneer er afspraken in de overeenkomst staan die strijdig zijn met
de AVG, is het mogelijk dat je in overtreding bent en dus beboetbaar bent.

Verwerkersovereenkomst AVG

De verwerkerovereenkomst is er om de gegevens van mensen te
kunnen beschermen. De AVG is ingegaan op 25 mei 2018. Sindsdien ben je als
organisatie verplicht om aan bepaalde eisen te voldoen met betrekking tot het
gebruiken en delen van gegevens van bijvoorbeeld patiënten, werknemers,
cliënten en dergelijke. De overeenkomst tussen verwerker en
verwerkingsverantwoordelijke gaat om alles wat betrekking heeft op het verwerken
van persoonsgegevens. Wanneer je als verwerkingsverantwoordelijke een
overeenkomst hebt met een verwerker en je vermoed dat de verwerker hier niet
goed mee omgaat, win dan juridisch advies in. Als verwerkingsverantwoordelijke
blijf je altijd verantwoordelijk voor de persoonsgegevens die je tot je
beschikking hebt.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn