Regels bij uitbesteden klantgegevens

Verwerkersovereenkomst opstellen: zo doe je dat

20 maart 2020

Als je een ander bedrijf toegang geeft tot persoonsgegevens moet je dit volgens de Algemene verordening gegevensbescherming (AVG) goed vastleggen. Dit doe je in een verwerkersovereenkomst. Tot de intreding van de AVG werd het een bewerkersovereenkomst genoemd.

Whitepaper Customer Relationship Management (CRM)

AVG

Bij het werken met persoonsgegevens moet je rekening houden met bepalingen in de Algemene verordening gegevensbescherming (AVG). Het opslaan, bewerken, versturen of gebruiken van privacygevoelige gegevens moet namelijk aan strenge eisen voldoen.

Let op met uitbesteden!

Als je er voor kiest een deel van je klantadministratie uit te besteden of op een andere manier persoonsgegevens aan derden geeft, moet je dat ook volgens de wet regelen. In dat geval wordt je opdrachtnemer een zogenoemde 'verwerker' volgens de AVG. Je moet duidelijke schriftelijke afspraken maken met de verwerker over de bescherming van de gedeelde gegevens. 

Verwerkersovereenkomst is verplicht

Zodra er sprake is van het bewerken en opslaan van persoonlijke gegevens voor of door derden, ben je wettelijk verplicht een verwerkersovereenkomst te hebben. In een verwerkersovereenkomst wordt de werkrelatie contractueel geregeld. 

In de verwerkersovereenkomst neem je een duidelijke beschrijving op van de diensten die de verwerker verleent en de persoonsgegevens die de verwerker daarbij verwerkt. Neem ook afspraken op over de inhoud en de frequentie van de beveiligingsrapportages die de verwerker aan jou levert. Leg jouw recht vast om de naleving van de beveiligingsmaatregelen vast te laten stellen door onafhankelijke deskundigen. 

Transparantie

Zorg in de verwerkersovereenkomst voor transparantie over eventuele beveiligingsincidenten. Neem afspraken op over de inhoud van rapportages over beveiligingsincidenten en datalekken, de criteria voor rapportage van incidenten en de snelheid waarmee wordt gerapporteerd.

In de overeenkomst omschrijft je welke (groepen) medewerkers van de verwerker toegang hebben tot welke gegevens. Ook spreekt je af wat de medewerkers vervolgens met de gegevens mogen doen. Bijvoorbeeld dat zij de gegevens niet mogen doorverkopen.

Neem een expliciet verbod op om andere handelingen met de persoonsgegevens uit te voeren dan wat je in de overeenkomst hebt omschreven. 

Subverwerker inschakelen?

Schakelt de verwerker subbewerkers in? Dat mag alleen met jouw toestemming. Er moet dan ook een verwerkersovereenkomst zijn met de subbewerker. Je moet er zelf op toezien dat de verwerkers (en eventuele subbewerker(s)) zich aan de afspraken uit de overeenkomst houden.

Bron: Autoriteit Persoonsgegevens, Uitvoeringswet Algemene verordening gegevensbescherming (wetten.overheid.nl)

Auteur

Raphael Klees