Verwerkers-overeenkomst nodig?
Als jij de verwerking van persoonsgegevens uitbesteedt aan een ander bedrijf dat als verwerker optreedt, ben je op grond van de Algemene Verordening Gegevensbescherming (AVG) verplicht een verwerkersovereenkomst te sluiten. Maar wanneer is de andere partij een verwerker en is er een verwerkersovereenkomst nodig? Het antwoord op deze vraag en een aantal praktische voorbeelden, lees je in dit blog.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een contract waarin je afspraken maakt over het verwerken van persoonsgegevens. Je spreekt hierin bijvoorbeeld af welke beveiligingsmaatregelen de andere partij neemt om de persoonsgegevens te beschermen en wat de andere partij precies met de persoonsgegevens moet doen.
Verwerker of verwerkingsverantwoordelijke?
Bij het verwerken van persoonsgegevens kun je verschillende rollen hebben. Het is belangrijk voordat de verwerking start, duidelijk te hebben wie welke rol heeft.
De verwerkingsverantwoordelijke is zoals de naam al zegt verantwoordelijk voor de persoonsgegevens. Hij bepaalt welke persoonsgegevens verwerkt worden, waarom en op welke manier.
De verwerker is degene die de persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke. De verwerker voert dus alleen de opdracht van de verwerkingsverantwoordelijke uit. Het kan ook voorkomen dat een partij zowel verwerker als verwerkingsverantwoordelijke is omdat hij én in opdracht persoonsgegevens verwerkt én die persoonsgegevens ook voor zichzelf gebruikt.
Praktische voorbeelden
Als het je nu begint te duizelen, snap ik dat volkomen. Het is lastige stof maar hopelijk wordt het hierna toch een beetje duidelijker voor je. Hieronder zie je een aantal voorbeelden waarbij een verwerkersovereenkomst verplicht is.
- Een virtueel assistent helpt jou bij je secretariële en administratieve taken. Zij werkt niet binnen jouw beveiligde omgeving en gebruikt eigen systemen.
- Je laat persoonsgegevens opslaan door een clouddienst en deze clouddienst gebruikt deze gegevens niet voor eigen doeleinden.
- Een marketingbureau verstuurt voor jou je nieuwsbrieven naar je klanten.
- Je laat een accountantskantoor of administratiekantoor de salarisadministratie uitvoeren.
Schema
Wil jij weten of je een verwerkersovereenkomst nodig hebt, loop dan eens stap voor stap onderstaand schema door.
AVG proof ondernemen
Het sluiten van een verwerkersovereenkomst is één van de stappen die je neemt, om AVG proof te ondernemen en dus boetes te voorkomen. In mijn blog: “AVG-stappenplan” lees je welke stappen je nog meer moet nemen om aan de nieuwe privacywet te voldoen.
Gezamenlijke verplichting
Zowel degene die opdracht geeft tot het verwerken van de persoonsgegevens (verwerkingsverantwoordelijke) als degene die de persoonsgegevens gaat verwerken (verwerker) zijn verantwoordelijk voor de verwerkersovereenkomst. Beide partijen kunnen dus ook een boete krijgen van de Autoriteit Persoonsgegevens als de verwerkersovereenkomst ontbreekt.
Hulp nodig?
Twijfel je nog of je een verwerkersovereenkomst nodig hebt? Wil je weten of je een verwerkersovereenkomst van de andere partij kunt ondertekenen? Of wil je een verwerkersovereenkomst op laten stellen zodat je zodat je zeker weet dat de overeenkomst aan de AVG voldoet en dat er geen onredelijke bepalingen in staan?
