Verwerkersovereenkomst: de 6 meestgestelde vragen aan DAS

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) werking. Deze verordening bepaalt hoe je moet omgaan met persoonsgegevens en wat hieronder wordt verstaan. Laat jij een andere partij de gegevens van jouw klanten of personeel verwerken? Dan is die partij de verwerker en ben jij verantwoordelijke. Jullie zijn beiden wettelijk verplicht om samen een verwerkersovereenkomst te sluiten. Denk hierbij bijvoorbeeld aan het uitbesteden van de salarisadministratie en het laten versturen van nieuwsbrieven, maar ook aan de ICT-leverancier die software levert en die extern beheert.

Het vastleggen van privacy-afspraken

Wij krijgen veel vragen over het vastleggen privacy-afspraken met leveranciers. Hieronder zetten we de zes meestgestelde vragen op een rij.

1. Wat leg ik vast in een verwerkersovereenkomst?

  • Het soort persoonsgegevens dat wordt verwerkt
  • De categorieën betrokkenen (de personen van wie de persoonsgegevens worden verwerkt)
  • Waarvoor de persoonsgegevens mogen worden verwerkt.
  • De duur van de verwerking.
  • Welke veiligheidsmaatregelen getroffen moeten worden.
  • De rechten en plichten van de verantwoordelijke, bijvoorbeeld het recht om een audit uit te voeren (dit wordt vaak vergeten!)
  • Of de verwerker sub-verwerkers mag inschakelen voor de verwerking.
  • Hiernaast gelden nog een aantal bijzondere vereisten

2. Wat is het verschil tussen een verantwoordelijke en een verwerker?

De verantwoordelijke bepaalt het doel en de middelen van de verwerking, maar de dienstverlener (verwerker) verzorgt de uitvoering. In sommige gevallen is het anders. Laat je dan adviseren door een deskundige.

3. Ik werk al jaren met dezelfde verwerker met wie ik nooit een verwerkersovereenkomst heb afgesloten. Moet ik dat nog alsnog doen?

Ja, dat ben je wettelijk verplicht. Als je het niet doet, overtreed je de wet.

4. Ik heb een modelovereenkomst van mijn leverancier gekregen. Kan ik die ook tekenen?

Dat kan, maar hangt uiteraard af van de inhoud van de modelovereenkomst. Een leverancier legt zichzelf mogelijk minder vergaande verplichtingen op en zal de aansprakelijkheid zo veel mogelijk bij jou leggen, dus lees die kritisch. Soms biedt zo’n modelovereenkomst niet voldoende waarborg voor jou als verantwoordelijke. Het is altijd raadzaam om juridisch advies in te winnen of een eigen overeenkomst op te sturen.

5. Is het voldoende als de leverancier een privacybepaling heeft opgenomen in de samenwerkingsovereenkomst?

Nee, dat is vaak onvoldoende. Meestal is zo’n privacybepaling te summier en staat daarin alleen dat de opdrachtgever verantwoordelijk is en de leverancier uitsluitend optreedt als verwerker, gevolgd door een beperkt aantal rechten en plichten. Dat moet je vaak nog uitbreiden, zodat de verantwoordelijke goed grip kan houden op de verwerker.

6. Hoe werkt het als mijn leverancier met onderaannemers werkt?

Als verantwoordelijke moet je ervoor zorgen dat alle partijen die met ‘jouw’ persoonsgegevens werken de privacyregels naleven. Je kunt dus ook aangesproken worden als die onderaannemers (sub-verwerkers) onzorgvuldig omgaan met de gegevens. Het is van belang dat jouw leverancier sub-verwerkersovereenkomsten afsluit met de onderaannemers. Het is daarom verstandig om in de verwerkersovereenkomst een bepaling op te nemen die verwerkers verplicht om zo’n overeenkomst af te sluiten die voldoende waarborg biedt.

Meer weten over de AVG?  Of over wat DAS eventueel voor je kan doen? Op onze site vind je meer informatie over hoe jouw organisatie AVG proof wordt.

 

Carolien Lasonder, Adviesdeskcoördinator – senior Jurist bij DAS