Verwerkersovereenkomst

Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 gelden er nieuwe regels voor de verwerking van persoonsgegevens. Maar sommige regels golden ook al onder de oude wetgeving, de Wet bescherming persoonsgegevens (Wbp). Een van die regels is dat je als onderneming in sommige gevallen een overeenkomst moet sluiten met een partij die uit naam van jouw onderneming persoonsgegevens verwerkt. In zo’n overeenkomst bepaal je op welke wijze de persoonsgegevens mogen worden verwerkt. Deze overeenkomst wordt ook wel een “verwerkersovereenkomst” genoemd.

Wat is een verwerkersovereenkomst en wanneer sluit je een verwerkersovereenkomst?

Als onderneming moet je bij elke samenwerking nagaan of je überhaupt een verwerkersovereenkomst moet sluiten. Allereerst is het noodzakelijk om vast te stellen of je een verwerkingsverantwoordelijke of verwerker bent. Die vraag is niet altijd eenvoudig te beantwoorden. Je bent – kort gezegd – “verwerkingsverantwoordelijke ” als je het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Je bent onder omstandigheden “verwerker” als je ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een verwerker verricht de diensten dus in opdracht van de verwerkingsverantwoordelijke. Een voorbeeld van een verwerker is de cloudprovider die data opslaat voor een bedrijf of de salarisadministrateur die administratieve werkzaamheden voor een instelling verricht. In de meeste situaties vallen bijvoorbeeld IT-leveranciers onder de definitie van “verwerker”.

Het onderscheid tussen “verwerkingsverantwoordelijke” en “verwerker” is van belang, omdat de AVG daaraan gevolgen verbindt. Volgens de AVG moeten “verwerkingsverantwoordelijke” en “verwerker” in de verwerkersovereenkomst namelijk afspraken maken over:

  • het feit dat de verwerker de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke
  • het al of niet doorgeven van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER)
  • de personen die toegang tot de persoonsgegevens hebben en deze vertrouwelijkheid in acht nemen
  • het treffen van passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen
  • het niet zomaar inschakelen van (sub)verwerkers zonder toestemming van de “verwerkingsverantwoordelijke”
  • het verlenen van bijstand op het moment dat een betrokkene een beroep doet op zijn rechten uit de AVG
  • het verlenen van bijstand bij het melden van een datalek en het doen van een Data Protection Impact Assessment (gegevensbeschermingseffectbeoordeling)
  • het wissen of terugbezorgen van persoonsgegevens, tenzij opslag van persoonsgegevens verplicht is
  • het verschaffen van informatie aan de verwerkingsverantwoordelijke om de juiste naleving van de AVG te kunnen aantonen en mee te werken aan audits.

Op beide partijen rust de verplichting om een verwerkersovereenkomst te sluiten. In verband met de sancties die de AVG verbindt aan het niet naleven van de AVG, is het zinvol om zo snel mogelijk een verwerkersovereenkomst te sluiten als dit nu nog niet is gebeurd.

Gezamenlijke verwerkingsverantwoordelijken

Soms komen de contractspartijen tot de conclusie dat zij in hun onderlinge verhouding “gezamenlijke verwerkingsverantwoordelijken” zijn. Voor die situatie bepaalt de wet dat er dan een overeenkomst tussen “Gezamenlijke verwerkingsverantwoordelijken” wordt opgesteld. In zo’n overeenkomst stellen partijen vast op welke wijze zij de verplichtingen uit de AVG nakomen. Daarbij maken ze in het bijzonder afspraken over de afhandeling van verzoeken van betrokkenen die hun rechten op grond van de AVG uitoefenen. Ook moeten de verwerkingsverantwoordelijken afspraken maken over de wijze waarop zij communiceren met betrokkenen van wie de persoonsgegevens worden verwerkt (bijvoorbeeld via een privacyverklaring).

Twijfel je eraan of je een verwerkersovereenkomst of een overeenkomst tussen verwerkingsverantwoordelijken moet sluiten? Of weet je op dit moment niet welke rol je hebt: die van verwerkingsverantwoordelijke of die van verwerker? Neem dan contact op met het team privacyrecht van Dommerholt Advocaten.

Direct contact opnemen