VERWERKERSOVEREENKOMST OPSTELLEN:

HOE GA JE TE WERK ?

7 AUGUSTUS 2018 | ROBERT VISSCHER

Als bedrijf ben je verplicht om in het kader van de AVG een aantal documenten bij te houden. Een van de belangrijkste is de verwerkersovereenkomst. Dit document is van toepassing als een bedrijf voor het uitvoeren van zijn activiteiten gebruikmaakt van derde partijen, waarbij tevens persoonsgegevens worden verwerkt. Wat zijn de belangrijkste elementen die terug dienen te komen in de verwerkersovereenkomst? En is er een bepaald stappenplan dat je kunt volgen voor het opstellen van dit document?

Verwerkingsverantwoordelijke en verwerker

Een verwerkersovereenkomst is het contract dat wordt afgesloten tussen de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens.

De verwerkingsverantwoordelijke is eindverantwoordelijke voor het vertrouwelijk omgaan met persoonsgegevens. Deze partij bepaalt voor welk doel gegevens worden verzameld en welke middelen worden ingezet voor de verwerking en beveiliging van de persoonsgegevens.

De verwerker is het bedrijf of de instantie die, in opdracht van de verwerkingsverantwoordelijke, de persoonsgegevens daadwerkelijk verwerkt. De officiële definitie die de AVG hanteert voor de term verwerken luidt als volgt: “Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”

De verwerker moet zich bij het uitoefenen van de verwerkingstaken houden aan het doel en de middelen die door de verwerkingsverantwoordelijke zijn vastgesteld. De verwerker is dus gebonden aan een vastomlijnde opdracht en mag deze gegevens niet voor andere doeleinden verwerken. Typische voorbeelden van verwerkers zijn boekhouders, accountants, marketingbedrijven, softwareleveranciers en payrollbedrijven. Die laatste groep verwerkt bijvoorbeeld vaak gegevens ten behoeve van de salarisadministratie van verwerkingsverantwoordelijken.

Wat is een verwerkersovereenkomst?

Op het moment dat je als organisatie de verwerking van persoonsgegevens uitbesteedt aan een andere partij, verplicht de AVG je om duidelijke afspraken te maken met de verwerker over de verwerking van die data. Deze afspraken kun je vastleggen in een hoofdovereenkomst of Service Level Agreement, echter geniet het de voorkeur om deze afspraken in een speciaal document vast te leggen: de verwerkersovereenkomst. Deze overeenkomst is een veelgebruikte vorm waarin de afspraken rondom het verwerken van persoonsgegevens duidelijk worden vastgelegd.

Onder de regels van de AVG is het verplicht goed vast te leggen wat de afspraken zijn voor de betrokken partijen rondom de verwerking van persoonsgegevens. Verzuim je dit? Dan is het de toezichthouder toegestaan uiteindelijk forse boetes uit te delen tot maar liefst 2% van de mondiale omzet.

Verwerkersovereenkomst opstellen

Bij het opstellen van een verwerkersovereenkomst zijn een aantal aandachtspunten waar je rekening mee dient te houden. Door de onderstaande stappen te doorlopen, weet je zeker dat de overeenkomst alle noodzakelijke elementen bevat.

1. Stel het doel en de middelen van de gegevensverwerking vast

De verwerkersovereenkomst moet allereerst duidelijk stellen wat het onderwerp, de aard en het doel van de verwerking van persoonsgegevens is. Hierbij vermeld je het soort persoonsgegevens wat verwerkt wordt en de categorieën van betrokkenen van wie het de persoonsgegevens betreft. Tevens moet de verantwoordelijke partij (dus niet het bedrijf of de persoon die de gegevens uiteindelijk verwerkt) duidelijk aangeven op welke manier en met welke middelen de gegevensverwerking moet geschieden.

2. Geheimhouding vastleggen

De verwerker is enkel toegestaan om persoonsgegevens beschikbaar te stellen aan degenen voor wie de toegang noodzakelijk is om de verwerking te kunnen doen. Er moet altijd een geheimhoudingsverklaring in de verwerkersovereenkomst worden opgenomen, of er moet sprake zijn van een wettelijke verplichting tot geheimhouding. Die geheimhouding waarborgt dat een gegevensverwerker persoonsgegevens niet openbaar maakt of ongevraagd aan anderen verstrekt.

3. Veiligheidsmaatregelen nemen

Nadat je als bedrijf het doel en de middelen van de gegevensverwerking hebt vastgesteld en de geheimhouding hebt geborgd, is het tijd om met de verwerkende partij heldere afspraken te maken over de te treffen veiligheidsmaatregelen. Uitgangspunt is dat de veiligheidsmaatregelen van de verwerker minimaal van hetzelfde niveau moeten zijn als die van de verantwoordelijke zelf. De AVG verlangt dat privacygevoelige informatie optimaal is beschermd.

Als er sprake is van een verhoogd privacyrisico, moet de verwerker ook medewerking verlenen aan het uitvoeren van een Data Protection Impact Assessment (DPIA). Dit instrument brengt in een vroeg stadium de risico’s in kaart die mogelijk gepaard gaan met een bepaalde vorm van gegevensverwerking, met als doel maatregelen te nemen om de waarschijnlijkheid en impact van deze risico’s weg te nemen of te verkleinen.

4. Duur van de verwerking bepalen

De verwerkersovereenkomst moet helderheid verschaffen over de duur van de verwerking. Met andere woorden: wanneer is de verwerking niet meer nodig en moet de externe partij hiermee stoppen en de persoonsgegevens wissen? Is de overeenkomst tussen de verantwoordelijke en de verwerker beëindigd? Dan moet de verwerker de persoonsgegevens vernietigen of teruggeven aan de verwerkingsverantwoordelijke en eventuele kopieën verwijderen.

5. Bepalingen over de doorgifte van persoonsgegevens aan een derde land of internationale organisatie

Voor het doorgeven en verwerken van persoonsgegevens vanuit Nederland naar derde landen gelden aparte regels.

Derde landen zijn alle landen buiten de EU, met uitzondering van Noorwegen, Liechtenstein en IJsland. Die landen behoren namelijk tot de Europese Economische Ruimte (EER). De hoofdregel luidt dat een organisatie persoonsgegevens alleen mag doorgeven aan derde landen die een passend beschermingsniveau bieden. Hiermee wordt bedoeld dat de getroffen veiligheidsmaatregelen om persoonsgegevens te beschermen qua kwaliteit en reikwijdte van AVG-niveau zijn.

6. Overzicht maken van de te bieden ondersteuning

De verwerkersovereenkomst moet ook duidelijkheid scheppen over de ondersteuning die de verwerker moet bieden bij het nakomen van de verplichtingen van de verantwoordelijke richting de betrokkene. Vooral de onderstaande punten zijn hierbij van belang.

  • De meldplicht bij datalekken. De AVG verplicht je om alle datalekken vast te leggen en te documenteren. In de verwerkersovereenkomst moet duidelijk worden aangegeven hoe wordt omgegaan met eventuele datalekken.
  • De verwerkersovereenkomst moet aantoonbaar maken dat de verwerkingsverantwoordelijke de verplichtingen van de AVG naleeft. Dit betekent bijvoorbeeld dat audits mogelijk gemaakt worden. De verwerker moet in de overeenkomst aangeven dat hij meewerkt aan audits van de verwerkingsverantwoordelijke zelf of van een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar, zodat gecontroleerd kan worden of hij zich als verwerker ook houdt aan de in het kader van de AVG gestelde verplichtingen.

Verwerkersovereenkomst en subverwerkers

Het kan ook zo zijn dat de verwerker waarmee je een samenwerking aangaat op zijn beurt weer gebruikmaakt van een andere partij bij het verwerken van gegevens. In dat geval spreken we van een subverwerker. Voor de subverwerker gelden automatisch dezelfde regels en verplichtingen als voor de verwerker zelf.

Wat staat er in de verwerkersovereenkomst?

Inhoudelijk moet een verwerkersovereenkomst aan een aantal voorwaarden voldoen. De onderstaande zaken moeten er sowieso in staan:

  • de aard en het doel van de verwerking;
  • de middelen die voor de verwerking worden ingezet;
  • het soort persoonsgegevens en de categorieën van betrokkenen;
  • een garantie van geheimhouding;
  • afspraken over de rol van eventuele derde partijen;
  • getroffen beveiligingsmaatregelen;
  • de verwerkingsduur;
  • de rechten en plichten van de verantwoordelijke en de rol van de verwerker hierin;
  • afspraken over audits en aansprakelijkheid;
  • een plan voor het afhandelen van datalekken;
  • eventuele doorgifte van persoonsgegevens naar derde landen.

Beschikbare modelovereenkomsten

Het opstellen van een verwerkersovereenkomst lijkt heel complex, zeker als je er als bedrijf geen ervaring mee hebt. Gelukkig zijn er wel modelovereenkomsten die de nodige houvast bieden en het opstellen van een dergelijk document gemakkelijker maken. Je kunt gebruikmaken van zogenaamde contractual model clauses. Dit zijn standaard contractbepalingen voor verwerkersovereenkomsten die door de Europese Unie zijn goedgekeurd. Ook zijn er op internet veel modelovereenkomsten te vinden die je kunt gebruiken als blauwdruk voor je eigen versie.

Conclusie

De verwerkersovereenkomst is een belangrijk onderdeel van de AVG-wetgeving. Zonder heldere afspraken te maken heb je geen grip op de manier waarop een externe partij persoonsgegevens verwerkt waar jouw bedrijf voor verantwoordelijk is. Het opstellen van een deugdelijke en doordacht verwerkersovereenkomst is onmisbaar bij het uitbesteden van de gegevensverwerking.

Als onafhankelijke dienstverlener kunnen wij je begeleiden bij het maken en implementeren van een verwerkersovereenkomst. Hiervoor heeft IT-Councelor een slimme en pragmatische aanpak ontwikkeld. Benieuwd naar wat wij concreet voor jouw bedrijf kunnen betekenen? Neem dan gerust vrijblijvend contact met ons op!

Bezoek ook onze eerstvolgende IT Master in één Dag op verschillende locaties door het land.

Robert Visscher Directeur IT-Councelor Oost