Verwerkersovereenkomst AVG: vermijd deze 5 denkfouten

Image

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Deze verordening bepaalt hoe je moet omgaan met persoonsgegevens en wat hieronder wordt verstaan. Laat jij een andere partij de gegevens van jouw klanten of personeel verwerken? Jullie zijn dan verplicht om samen een verwerkersovereenkomst op te stellen. Wij krijgen veel vragen over het vastleggen privacy-afspraken en hebben 5 denkfouten voor je op een rij gezet.

Denkfout 1: "Ik weet precies het verschil tussen een verantwoordelijke en verwerker"

In de praktijk blijkt dat partijen zich niet altijd bewust zijn van de rol die zij hebben. Hierdoor worden verwerkersovereenkomsten niet altijd goed gesloten. Laat jij een andere partij de gegevens van jouw klanten verwerken? Dan ben jij de verantwoordelijke. Je bepaalt het doel en de middelen van de verwerking. De andere partij is de verwerker en verzorgt de uitvoering. Ga dus goed na of je verwerkingsverantwoordelijke of verwerker bent.

Denkfout 2. “De verwerker moet het initiatief nemen”

Een overeenkomst zijn afspraken tussen twee partijen. Beide partijen moeten er dus voor zorgen dat er een verwerkersovereenkomst komt. Wacht dus niet tot de andere partij jou hierover benadert, maar wees zelf proactief. 

Denkfout 3. “De inhoud van de (model) verwerkersovereenkomst zal wel in orde zijn”

Krijg je een verwerkersovereenkomst voorgelegd, controleer de inhoud daarvan dan goed. De opsteller van de overeenkomst kan het meer in zijn voordeel opgesteld hebben. Ook komt het nogal eens voor dat bepalingen opgenomen worden over aansprakelijkheid en vrijwaring. Deze kunnen in je nadeel zijn. Het is overigens niet verplicht om hierover afspraken te maken in de verwerkersovereenkomst; je kunt ook aansluiting zoeken bij al bestaande afspraken hierover. Zorg in ieder geval dat je weet aan welke verplichtingen je wordt gehouden. Een modelovereenkomst moet je sowieso altijd goed checken.

Denkfout 4: "Ik hoef geen overeenkomst af te sluiten met de verwerker waarmee ik al jaren werk"

Iedereen is wettelijk verplicht om een verwerkersovereenkomst af te sluiten. Met nieuwe verwerkers, maar ook met je huidige verwerkers. 

Denkfout 5. "Gemaakte afspraken hoef ik niet door te geven aan partijen die met mijn verwerker werken"

Als verantwoordelijke moet je ervoor zorgen dat alle partijen die met ‘jouw’ persoonsgegevens werken de privacyregels naleven. Werkt jouw leverancier met sub-verwerkers, bijvoorbeeld een softwareleverancier of een zzp’er? Dan is het van belang dat jouw leverancier sub-verwerkersovereenkomsten afsluit met zijn onderaannemers. Want je kunt dus ook aangesproken worden als die onderaannemers (sub-verwerkers) onzorgvuldig omgaan met de gegevens. Het is daarom verstandig om in de verwerkersovereenkomst een bepaling op te nemen die verwerkers verplicht om zo’n overeenkomst af te sluiten die voldoende waarborg biedt.

Hulp bij de privacywetgeving?

Wil je ook goed zorgen voor de privacy van uw klanten? Neem de juiste maatregelen voor het verwerken van persoonsgegevens van klanten en werknemers. Wij helpen je om de juiste stappen te zetten.

Mag u klant- en personeelsgegevens delen met anderen?
Mag u klant- en personeelsgegevens delen met anderen?