Aanbevelingen voor jouw verwerkersovereenkomst om hoge boete te voorkomen

De Autoriteit Persoonsgegevens (AP) heeft bij dertig organisaties in de private sector, onder meer handel, gezondheidszorg, media, vrije tijd en energie, onderzoek gedaan naar verwerkersovereenkomsten. Het doel was een beter beeld te krijgen van hoe organisaties deze overeenkomsten opstellen. De conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn. Voldoet jouw verwerkersovereenkomst aan de vereisten die de wet hiervoor stelt?

Wat is zo’n verwerkersovereenkomst ook alweer en wat staat erin? In een verwerkersovereenkomst staat beschreven wie verantwoordelijk is bij de verwerking van persoonsgegevens als daarvoor een ander bedrijf wordt ingeschakeld. De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, oftewel degene die het waarom en het hoe van de gegevensverwerking bepaalt. De verwerker is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt.

Wettelijke verplichte zaken

In de verwerkersovereenkomst leg je in ieder geval de volgende, wettelijk verplichte zaken vast:

  • welke persoonsgegevens je gaat verwerken;
  • op welke manier en voor welke doelen je de persoonsgegevens gaat verwerken (de instructies van de verwerkingsverantwoordelijke);
  • aan welke partijen je de persoonsgegevens mag verstrekken en dat die partijen dezelfde plichten opgelegd krijgen als de verwerker;
  • welke beveiligingsmaatregelen je hebt genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
  • dat de personen die de persoonsgegevens verwerken vertrouwelijkheid in acht nemen;
  • dat de verwerkingsverantwoordelijke audits mag uitvoeren;
  • hoe aan de rechten van de betrokkene, bijvoorbeeld op inzage en correctie, wordt voldaan;
  • dat de verwerker ondersteunt bij het melden van eventuele datalekken en Data Protection Impact Assessments (DPIA’s).
  • wanneer en op welke manier de gegevens weer verwijderd worden.

Drie concrete aanbevelingen AP

Naar aanleiding van haar onderzoek heeft de AP benadrukt dat degelijke, periodiek bijgewerkte verwerkersovereenkomsten onderdeel vormen van een goede bedrijfsvoering. Organisaties die steeds meer door data gedreven worden, doen er goed aan om te investeren in werkende verwerkersovereenkomsten als onderdeel van hun datahuishouding. Daarbij benadrukt de AP dat de AVG, door de open normen van deze wet, mogelijkheden biedt voor maatwerk. Niet elke organisatie of verwerking is immers hetzelfde. De afspraken kunnen worden vastgelegd in een aparte verwerkersovereenkomst of op een andere manier. Zo kan de verwerkersovereenkomst bijvoorbeeld ook in de Algemene Voorwaarden worden opgenomen of als bijlage worden toegevoegd.

Algemene aanbevelingen

Verder heeft de AP een paar algemene aanbevelingen voor organisaties, namelijk:

  1. Maak op basis van uw verwerkingsregister inzichtelijk welke organisaties u inschakelt en welke verwerkingen deze organisaties doen. Wat zijn de risico’s hiervan en geldt of is er een verwerkersovereenkomst vereist en aanwezig.
  2. Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen. Sluit aan op bestaande processen voor contractmanagement en herzie de overeenkomsten periodiek.
  3. Maak afspraken en maatregelen concreet. Een verwerkersovereenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Benoem bijvoorbeeld concrete bewaartermijnen, maak concreet welke beveiligingsmaatregelen worden getroffen en spreek af wie, wat, wanneer moet doen bij een datalek.

Loop geen onnodig risico op hoge boete

Het niet voldoen aan de plicht om een verwerkersovereenkomst te sluiten kan leiden tot een waarschuwing of een hoge boete. Ook loop je misschien onnodig grote risico’s doordat er geen afspraken zijn gemaakt over beveiliging en datalekken. Zorg er dus voor dat je je zaakjes op orde hebt! Heb je nog geen verwerkingsregister en/of verwerkersovereenkomst? Maak deze dan zo snel mogelijk. Jouw Privacy jurist staat klaar om je hierbij te helpen.

Disclaimer

Dit blog schetst de algemene regels en uitgangspunten. Uiteraard kan er in specifieke situaties sprake zijn van uitzonderingen. Heeft u vragen over dit onderwerp, dan kunt u altijd contact opnemen met een van onze specialisten.

Carolien Lasonder Jurist
Ik ben senior jurist en coördinator van de Juridische Adviesdesken van DAS. Ondernemingen moeten tegenwoordig aan veel regels voldoen op het gebied van privacy en arbeidsrecht. Ik begeleidt juridische projecten en procedures op het gebied van privacy, contractmanagement en arbeidsrecht.

Gratis juridische informatie

Blijf op de hoogte!

Ontvang maandelijks onze e-nieuwsbrief met juridische tips, nieuws en trends.

Nu aanmelden