De AVG uitgelegd; de verwerkingsovereenkomst

Aan de slag met de AVG

18 februari 2020

De Algemene verordening gegevensbescherming (AVG) heeft invloed op ondernemers. Zo krijg je bijvoorbeeld te maken met een verwerkersovereenkomst. Wat houdt het in en wat moet je ermee?

Eerste hulp bij Digitaliseren

Wat moet ik doen?

Voor sommige activiteiten van je bedrijfsvoering zet je externe partijen in. Bijvoorbeeld het bezorgen van de pakketjes voor je klanten door een pakketbezorgdienst, het voeren van de loonadministratie door een administratiekantoor of het gebruik van een softwarepakket in de cloud. Aan al die partijen geef je op dat moment persoonsgegevens door van je klanten of medewerkers. Persoonsgegevens zijn bijvoorbeeld naam, adres of telefoonnummer. Zodra je persoonsgegevens doorgeeft aan zo’n externe partij verplicht de privacywetgeving je om met die partij afspraken te maken over de bescherming van die persoonsgegevens. Dit doe je in een verwerkersovereenkomst, in de privacywetgeving (Wbp) noemen we dit een bewerkersovereenkomst.

Hoe moet ik het doen?

De nieuwe privacywetgeving (AVG) stelt meer eisen aan de overeenkomst met de externe partij dan de huidige privacywetgeving. Onder de huidige privacywetgeving moet je al afspraken maken over de volgende punten:

  • waarom de persoonsgegevens worden verwerkt;

  • welke soort persoonsgegevens worden verwerkt;

  • van welke soort personen de gegevens zijn (bijvoorbeeld: klanten, leerlingen, werknemers);

  • hoe de persoonsgegevens op een passende manier worden beveiligd;

  • hoe lang de externe partij de gegevens mag bewaren en hoe ze die gegevens kunnen teruggeven;

  • of de externe partij de gegevens in het buitenland opslaat en onder welke voorwaarden dat dan gebeurt;

  • of de externe partij op haar beurt weer andere partijen inschakelt die de gegevens ook ontvangen;

  • dat je bij de externe partij mag controleren of ze de gemaakte afspraken nakomen en hoe je deze controles uitvoert;

  • afspraken over de geheimhouding van de persoonsgegevens;

  • de bewaartermijnen, back-up en vernietiging van de persoonsgegevens;

  • hoe de externe partij medewerking verleent aan de verzoeken om inzage, correctie en verwijdering die je ontvangt van je klanten;

  • hoe de aansprakelijkheid tussen jou en de externe partij geregeld is voor schade als afspraken uit de verwerkersovereenkomst niet worden nagekomen.

Aandachtspunten

  1. Heb je al een bewerkersovereenkomst? Blijf de inhoud hiervan periodiek controleren. Door wijzigingen in de samenwerking kan een bewerkingsovereenkomst ook aandacht nodig hebben.

  2. Check met wie je een verwerkersovereenkomst moet afsluiten. De makkelijkste manier om dit na te gaan is het opstellen van een verwerkingenregister. Een document waarin je bijhoudt welke persoonsgegevens je hebt, waar ze opgeslagen zijn en wat je aan beveiliging hebt gedaan.

  3. Als je geen verwerkersovereenkomsten sluit kun je een boete krijgen van maximaal 10 miljoen euro of 2 procent van de jaarlijkse omzet. Tijd besteden aan deze verplichting lijkt dus verstandig.