AVG-eis: waar moet een verwerkersovereenkomst aan voldoen?

AVG-eis: waar moet een verwerkersovereenkomst aan voldoen?

De nieuwe wet Algemene Verordering Gegevensbescherming (AVG) treedt 25 mei 2018 in werking. Organisaties zijn verplicht om schriftelijke afspraken te maken over het bewaren, delen en verwerken van persoonsgegevens. Schakelt uw organisatie andere partijen in om die gegevens te verwerken? Dan legt u dat vanaf nu vast in een ‘verwerkersovereenkomst’, voorheen ‘bewerkersovereenkomst’. Waar moet die verwerkersovereenkomst aan voldoen?

Expert blog door Marloes Sluis

Een organisatie die een andere partij inschakelt om persoonsgegevens te verwerken, moet met deze partij schriftelijke afspraken maken. Het document waarin de afspraken over de gegevensverwerking zijn neergelegd, heet onder de AVG niet langer een ‘bewerkersovereenkomst’, maar een ‘verwerkersovereenkomst’. In dit artikel worden de vereisten van een verwerkersovereenkomst besproken.

De partijen

De organisatie die het doel en de middelen van de verwerking van persoonsgegevens bepaalt, noemt men onder de AVG de ‘verwerkingsverantwoordelijke’. De partij die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt heet onder de AVG de ‘verwerker’. Denk bijvoorbeeld aan een bedrijf dat met het oog op de salarisadministratie persoonsgegevens bijhoudt van zijn personeel (verwerkingsverantwoordelijke) en een salarisadministratiekantoor dat de salarisadministratie voor het bedrijf verwerkt (verwerker).

Vereisten

De AVG stelt diverse eisen aan de verwerkersovereenkomst. De volgende onderwerpen mogen niet ontbreken:

Algemene beschrijving
Een omschrijving van het onderwerp, de duur, het doel en de aard van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Instructies verwerking
De verwerking vindt uitsluitend plaats op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens dan ook niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht
De verwerker dient de vertrouwelijkheid te waarborgen. Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiligingsmaatregelen
De verwerker draagt zorg voor de technische en organisatorische beveiligingsmaatregelen. Voorbeelden hiervan zijn: pseudonimisering, versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten en regelmatige beveiligingstesten.

Subverwerker
De verwerker schakelt geen subverwerker in zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verplichtingen neergelegd in de verwerkersovereenkomst legt een verwerker ook op aan de subverwerker. In de verwerkersovereenkomst kan worden opgenomen onder welke voorwaarden een verwerker een subverwerker mag inschakelen. Let wel, indien een subverwerker zijn verplichtingen niet nakomt, dan blijft de verwerker jegens de verwerkingsverantwoordelijke aansprakelijk.

Rechten van betrokkenen
Op grond van de AVG komen betrokkenen verschillende rechten toe, zoals bijvoorbeeld het recht op inzage in de eigen persoonsgegevens, het recht op verbetering van onjuiste persoonsgegevens en het recht om persoonsgegevens te laten wissen. De verwerker assisteert bij het vervullen van de plicht van de verwerkingsverantwoordelijke om aan verzoeken van betrokkenen op grond van deze rechten te voldoen.

Overige verplichtingen
De verwerker verleent de verwerkingsverantwoordelijke ook assistentie bij andere verplichtingen, zoals het melden van datalekken en het uitvoeren van een data privacy impact assessment.

Gegevens verwijderen
Na afloop van de verwerkingsdiensten wist de verwerker de persoonsgegevens, of draagt de gegevens op verzoek van de verwerkingsverantwoordelijke over. Eventuele kopieën worden verwijderd.

Audit
De verwerker werkt mee aan een audit door de verwerkingsverantwoordelijke of derden, waarin onderzocht wordt of de verwerker zijn verplichtingen nakomt.

Tot slot

Het sluiten van een schriftelijke verwerkersovereenkomst is essentieel onder de AVG.  De verwerkersovereenkomst hoeft geen losse overeenkomst te zijn, maar kan onderdeel uitmaken van een overkoepelende overeenkomst tussen partijen. Twijfelt u over de noodzaak van een verwerkersovereenkomst of over de op te nemen voorwaarden?  Neem dan contact met ons op, zodat we u verder kunnen helpen.


Marloes Sluis

Marloes Sluis is juridisch medewerker bij Holla Advocaten waar zij deel uit maakt van het Intellectuele eigendom & ICT-team. Haar interesse voor het intellectuele eigendom is gewekt tijdens haar master en heeft zich vertaald in haar afstudeerscriptie met betrekking tot het auteursrecht. Het rechtsgebied spreekt haar aan, omdat zij de bescherming van creativiteit hoog in het vaandel heeft staan.


 Vond u dit interessant?

Blijf op de hoogte en schrijf u in voor tips, evenementen en nieuws van Bizon Software?

Uw naam

Uw email

Regelmatig nodigen we experts uit om als gastblogger actuele ontwikkelingen uit de markt te bespreken.
error: Content is protected !!