Verwerkersovereenkomst

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een overeenkomst die wordt gesloten tussen een verantwoordelijke (de partij die bepaalt welke persoonsgegevens worden verwerkt en waarom) en een verwerker (de partij die deze gegevens verwerkt namens de verantwoordelijke). In deze overeenkomst staan afspraken over wat de verwerker van persoonsgegevens wel en niet mag/moet doen met de persoonsgegevens die de verwerkersverantwoordelijke aanlevert. Voorbeelden van afspraken die in deze overeenkomst worden gemaakt zijn met welk doel de persoonsgegevens verwerkt worden, hoelang de verwerking gebeurd en op welke wijze.

Wanneer heb je een verwerkersovereenkomst nodig?

De Algemene Verordening Gegevensbescherming (AVG) verplicht het hebben van deze overeenkomst wanneer een persoon of organisatie in opdracht van jou persoonsgegevens verwerkt en jij degene bent die de voorwaarden rondom de verwerking bepaald. Zelfs wanneer je het verwerken van persoonsgegevens uitbesteed aan een eigen dochteronderneming heb je deze overeenkomst nodig! Zijn er situaties waarin deze overeenkomst ook niet nodig is? Zeker!

Niet:

  • Je schakelt een jurist in, zoals ons! Het inschakelen van een jurist doe je niet met de opdracht om bepaalde persoonsgegevens te verwerken, maar om je van advies of hulp te voorzien bij een juridisch vraagstuk dat je hebt. De persoonsgegevens die door een jurist verwerkt worden vallen onder de verwerkingsverantwoordelijkheid van de jurist. Daarom is er hiervoor geen verwerkersovereenkomst nodig.

  • Je schakelt een ZZP’er in, zoals een marketingadviseur of een hovenier die zelfstandig werken. Als een ZZP’er jouw rechtstreekse aanwijzingen voor de opdracht uitvoert dan is hij geen verwerker en hoeft er dus geen verwerkersovereenkomst gesloten te worden.

Met ZZP’ers, juristen, vrijwilligers en andere groepen hoef je meestal geen verwerkersovereenkomst op te stellen, maar het is wel verstandig om goede afspraken te maken over hoe er wordt omgegaan met persoonsgegevens.

Wat regelt een verwerkersovereenkomst precies?

De verwerkersovereenkomst regelt hoe de verwerker moet omgaan met de persoonsgegevens die hij verwerkt voor de verantwoordelijke. Het doel van de overeenkomst is om de privacy en de rechten van de betrokkenen (de personen van wie de gegevens worden verwerkt) te beschermen.

Belangrijke onderdelen van een verwerkersovereenkomst zijn:

  1. Verwerkingsdoelen: Duidelijke omschrijving van wat de verwerker met de persoonsgegevens mag doen, zoals opslaan, gebruiken of verwijderen.

  2. Beveiliging: Afspraken over hoe de verwerker de persoonsgegevens beschermt tegen verlies, ongeautoriseerde toegang, of andere vormen van onrechtmatige verwerking.

  3. Duur van de verwerking: Hoe lang de gegevens verwerkt zullen worden en wat er gebeurt met de gegevens na afloop van de overeenkomst (bijvoorbeeld vernietiging of teruggeven aan de verantwoordelijke).

  4. Rechten van betrokkenen: Afspraken over hoe de verwerker moet omgaan met verzoeken van betrokkenen, zoals het recht op inzage, correctie of verwijdering van hun gegevens.

  5. Sub-verwerkers: Als de verwerker de gegevens wil laten verwerken door een andere partij (een sub-verwerker), moet dit in de overeenkomst geregeld zijn en vaak is hiervoor toestemming van de verantwoordelijke nodig.

  6. Aansprakelijkheid: Regels over wie verantwoordelijk is bij datalekken of andere inbreuken op de bescherming van persoonsgegevens.

Kortom, een verwerkersovereenkomst zorgt ervoor dat beide partijen voldoen aan de eisen van de AVG en dat de persoonsgegevens op een veilige en verantwoorde manier worden verwerkt.