Waarom is een verwerkersovereenkomst verplicht?
Volgens de AVG is het verplicht om een verwerkersovereenkomst op te stellen als je als bedrijf persoonsgegevens laat verwerken door een externe partij. Het doel van de overeenkomst is om de rechten van betrokkenen (de personen van wie de gegevens worden verwerkt) te beschermen en om ervoor te zorgen dat persoonsgegevens op een veilige en transparante manier worden verwerkt. Door de verantwoordelijkheden duidelijk vast te leggen, kunnen zowel de verwerkingsverantwoordelijke als de verwerker aansprakelijk worden gehouden bij eventuele schendingen van de privacywetgeving.
Wanneer heb je een verwerkersovereenkomst nodig?
Een verwerkersovereenkomst is nodig in de volgende situaties:
- Wanneer je een externe partij inschakelt om persoonsgegevens te verwerken
Dit kan bijvoorbeeld een cloudprovider, IT-dienstverlener, boekhouder of marketingbureau zijn dat voor jouw bedrijf werkt en toegang heeft tot persoonsgegevens. - Wanneer er sprake is van structurele verwerking van persoonsgegevens
Het gaat hierbij om meer dan alleen incidentele toegang tot gegevens. Denk aan het beheren van klantendatabases, verzenden van nieuwsbrieven of hosten van websites met gebruikersgegevens.
Wat moet er in een verwerkersovereenkomst staan?
Een verwerkersovereenkomst moet duidelijk specificeren hoe de verwerking van persoonsgegevens plaatsvindt en welke verantwoordelijkheden beide partijen hebben. Hieronder de belangrijkste onderdelen die in de overeenkomst moeten worden opgenomen:
- De doeleinden van de verwerking
De overeenkomst moet vastleggen voor welke specifieke doeleinden de verwerker de persoonsgegevens zal verwerken. - De duur van de verwerking
Het contract moet aangeven hoe lang de verwerker toegang heeft tot de persoonsgegevens en voor welke periode de gegevens worden opgeslagen. - Soorten persoonsgegevens
De overeenkomst moet duidelijk omschrijven welke soorten persoonsgegevens worden verwerkt, zoals namen, e-mailadressen, financiële gegevens, etc. - Rechten en verplichtingen van de verwerker
De verwerker moet garanderen dat hij de gegevens uitsluitend verwerkt in opdracht van de verwerkingsverantwoordelijke en in overeenstemming met de AVG. Daarnaast moet hij passende beveiligingsmaatregelen treffen om de gegevens te beschermen. - Beveiligingsmaatregelen
De verwerkersovereenkomst moet specificeren welke technische en organisatorische maatregelen de verwerker neemt om de persoonsgegevens te beschermen tegen verlies, diefstal of onbevoegde toegang. - Inschakeling van subverwerkers
Als de verwerker andere partijen inschakelt om een deel van de verwerking uit te voeren (subverwerkers), moet dit expliciet in de overeenkomst worden opgenomen. De verwerker blijft verantwoordelijk voor de naleving van de AVG, ook als hij gebruikmaakt van subverwerkers. - Meldingsplicht datalekken
De verwerker moet verplicht zijn om eventuele datalekken direct te melden aan de verwerkingsverantwoordelijke, zodat er tijdig actie kan worden ondernomen. - Aansprakelijkheid en boetes
De overeenkomst moet duidelijk omschrijven wie verantwoordelijk is voor eventuele schade of boetes bij het overtreden van de privacywetgeving.
Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?
| Rol | Verantwoordelijkheden |
|---|---|
| Verwerkingsverantwoordelijke | Het bedrijf of de organisatie die bepaalt welke gegevens worden verwerkt en waarom. Zij hebben de uiteindelijke controle over de gegevens en zijn verantwoordelijk voor de naleving van de AVG. |
| Verwerker | De externe partij die de gegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. De verwerker mag alleen gegevens verwerken binnen de grenzen van de overeenkomst en volgens de instructies van de verwerkingsverantwoordelijke. |
Gevolgen van het niet opstellen van een verwerkersovereenkomst
Als je geen verwerkersovereenkomst hebt met je verwerkers, loop je het risico op hoge boetes en aansprakelijkheid bij een datalek of schending van de privacywetgeving. De AVG staat boetes toe van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kan het ontbreken van een verwerkersovereenkomst leiden tot reputatieschade en verlies van vertrouwen bij klanten.
Conclusie
Een verwerkersovereenkomst is een cruciaal document dat de verwerking van persoonsgegevens tussen een verwerkingsverantwoordelijke en een verwerker regelt. Het helpt beide partijen om hun verplichtingen onder de AVG na te komen en zorgt ervoor dat persoonsgegevens op een veilige en verantwoorde manier worden verwerkt. Heb je hulp nodig bij het opstellen van een verwerkersovereenkomst? Bezoek onze kennisbank voor meer informatie en advies over privacywetgeving en gegevensbescherming.
