Bewerkersovereenkomst onder de AVG

vrijdag 28 april 2017

De AVG bewerkersovereenkomst: verwerkersovereenkomst


In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de "Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.


In dit blog: wat moet er minimaal in een verwerkersovereenkomst staan (nummer 1)?
 

De verwerkersovereenkomst: wat moet er in staan?

Een verwerkersovereenkomst is een overeenkomst die wordt gesloten met “verwerkers”. De Algemene Verordening Gegevensbescherming schrijft voor wat er minimaal in zo'n verwerkersovereenkomst moet worden opgenomen.


Wat is een "verwerker"?

Als uw organisatie is aan te merken als verantwoordelijke en handelingen met persoonsgegevens (denk bij "handelingen" aan opslaan, inzien, aanpassen, verwijderen, doorsturen e.d.) uitbesteedt aan een externe leverancier of dienstverlener, dan is zo´n externe leverancier of dienstverlener aan te merken als een verwerker. In de oude privacywet, de Wet bescherming persoonsgegevens wordt dit "bewerker" genoemd. 

De verwerker mag alleen handelingen met de persoonsgegevens verrichten in opdracht van uw organisatie en dit niet voor eigen doeleinden doen. 

Veel voorkomende voorbeelden van uitbesteding van persoonsgegevens aan een verwerker zijn: 

o   Hosting en/of beheer van een website / applicatie / IT omgeving
o   Het plaatsen van persoonsgegevens in de cloud
o   Outsourcing aan een IT bedrijf
o   Callcenters die consumenten bellen
o   Salarisverwerkingsbureaus die salarissen verwerken
o   Mediabureaus die commerciële mailings sturen
o   Externe klantenservice
o   Onderaannemers of dienstverleners aan wie een administratie, bijvoorbeeld financiële administratie of personeelsadministratie, is geoutsourced. 


Waarom is dit relevant? 

Dit is relevant omdat uw organisatie bij uitbesteding aan een verwerker moet weten wat er met de persoonsgegevens gebeurt.

Uw organisatie is namelijk verantwoordelijk en aansprakelijk voor het naleven van de privacywetgeving door de verwerker. Als er bij de verwerker bijvoorbeeld een datalek is, dan is uw organisatie degene die het datalek moet melden aan de toezichthouder, de Autoriteit Persoonsgegevens. 

Daarom schrijft de AVG voor dat er een overeenkomst moet worden gesloten met de verwerker om afspraken te maken over wat de verwerker met de persoonsgegevens mag en moet doen.


Wat staat er in de Algemene Verordening Gegevensbescherming (AVG) over verwerkersovereenkomsten? 

De AVG schrijft, in artikel 28, voor dat alleen verwerker mogen worden ingehuurd die voldoende garanties kunnen geven dat zij "passende technische en organisatorische maatregelen" hebben genomen om te zorgen dat wordt voldaan aan de verplichtingen uit de AVG, en ook om te zorgen dat de rechten van de personen wiens persoonsgegevens worden verwerkt, worden gewaarborgd. 

In artikel 28 staat verder dat er met de verwerker een verwerkersovereenkomst moet worden gesloten die minimaal de volgende bepalingen moet omvatten: 

1.       Omschrijving van de “verwerking” door de verwerker

In de overeenkomst moet worden aangegeven: 

o   een omschrijving van de verwerking; 

o   hoe lang de verwerking duurt; 

o   wat de aard is en het doel van de verwerking; 

o   het soort persoonsgegevens en de categorieën betrokken personen wiens persoonsgegevens worden verwerkt. 


2.       Toestemming voor uitbesteden aan sub-verwerkers 

Als de verwerker handelingen met de persoonsgegevens uitbesteedt aan andere verwerkers (sub-verwerkers), dit zijn meestal onderaannemers of leveranciers van de verwerker, dan moet uw organisatie daarvoor voorafgaande specifieke of algemene toestemming geven.

Als er algemene toestemming wordt gegeven moet de verwerker wijzigingen van sub-verwerkers melden aan uw organisatie en uw organisatie de mogelijkheid geven bezwaar te maken. 

3.       Dezelfde verplichtingen opleggen aan sub-verwerkers 

De verwerker moet ingehuurde sub-verwerkers dezelfde minimale verplichtingen opleggen als de in deze lijst opgesomde verplichtingen die uw organisatie aan de verwerker moet opleggen.

4.       Alleen handelen in opdracht van uw organisatie

De verwerker mag alleen maar handelingen met de persoonsgegevens verrichten in opdracht van uw organisatie. Dat wil zeggen: de verwerker mag alleen die handelingen verrichten die noodzakelijk zijn voor het uitvoeren van de diensten die de verwerker voor uw organisatie verricht. De verwerker mag niet zelfstandig bepalen wat er met de persoonsgegevens gebeurt.

Als het bijvoorbeeld gaat om een hosting partij, dan zal deze partij de persoonsgegevens alleen mogen opslaan en deze incidenteel, als dat echt noodzakelijk is, voor beheerdoeleinden in mogen zien. Zo’n partij mag die gegevens bijvoorbeeld niet zelf gaan analyseren of ze zelf aanpassen.

Als het bijvoorbeeld gaat om een marketingbureau dat e-mails verstuurt naar uw klantendatabase, dan zal het marketingbureau de e-mailadressen alleen mogen gebruiken voor het versturen van die e-mails en deze niet bijvoorbeeld aan andere klanten verstrekken of e-mails van andere klanten sturen naar de e-mailadressen in die database.

Het betekent ook dat de verwerker de persoonsgegevens niet zonder toestemming van uw organisatie mag doorgeven aan andere partijen. De enige uitzondering daarop is als de verwerker op grond van een Europeesrechtelijke wettelijke verplichting verplicht wordt de persoonsgegevens af te staan, meestal zal dit zijn aan een overheidsinstantie.    

5.       Beveiligen persoonsgegevens

Het beveiligen van de persoonsgegevens is één van de belangrijkste taken van de verwerker. In de verwerkersovereenkomst moet staan dat de verwerker “passende technische en organisatorische maatregelen” neemt om de persoonsgegevens te beveiligen. De Autoriteit Persoonsgegevens stelt daarbij als eis dat de beveiligingsmaatregelen ook worden omschreven in de Verwerkersovereenkomst.

6.       Zorgen voor geheimhouding door medewerkers

De verwerker moet ervoor zorgen dat de personen die de persoonsgegevens onder toezicht van de verwerker verwerken, verplicht zijn tot geheimhouding van die persoonsgegevens, ofwel door middel van afspraken met de verantwoordelijke ofwel op basis van een beroepsmatige geheimhoudingsplicht. 

7.       Uw organisatie helpen  

In de overeenkomst moet staan dat de verwerker uw organisatie door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, assisteert bij het beantwoorden van verzoeken van de personen om wiens gegevens het gaat, bij het beveiligen van de persoonsgegevens, het melden van datalekken, het uitvoeren van PIA´s en (wanneer dat nodig is) voorafgaande raadpleging van de Autoriteit Persoonsgegevens.

De verwerker mag daarbij rekening houden met de aard van de verwerking en de informatie die de bewerker ter beschikking staat. 


8.       Persoonsgegevens weer overdragen of vernietigen 

Na het einde van de dienstverlening door de verwerker moet deze de persoonsgegevens wissen of de persoonsgegevens aan de uw organisatie teruggeven en bestaande kopieën verwijderen. 

9.       Audits toestaan en informatie aan uw organisatie geven 

De verwerker moet audits toestaan en informatie aan uw organisatie geven zodat uw orgaisatie na kan gaan of de verwerker de verplichtingen uit de bewerkersovereenkomst nakomt.

Moet er in de verwerkersovereenkomst iets worden opgenomen over de kosten?

De AVG bepaalt niet dat er afspraken moeten worden gemaakt over de kosten die de verwerker moet maken om te voldoen aan de bepalingen in de overeenkomst. Het is wel aan te raden dit te doen, om achteraf discussies over de kosten te voorkomen.

Moeten de afspraken altijd in een aparte verwerkersovereenkomst staan?

Nee, strikt genomen hoeven de afspraken niet in een aparte verwerkersovereenkomst staan. Ze kunnen bijvoorbeeld ook in algemene voorwaarden staan of in een dienstverleningsovereenkomst.

Toch is het wel aan te raden om de afspraken vast te leggen in een aparte overeenkomst omdat: 

  • Het verwerken van de persoonsgegevens dan uitdrukkelijk onder de aandacht komt zodat het duidelijk is dat dit een aandachtspunt is; 
  • De afspraken specifieker kunnen worden vastgelegd voor de betreffende verwerkingen; 
  • Als de Autoriteit Persoonsgegevens inzage wil in de afspraken, alleen de bewerkersovereenkomst kan worden getoond en de commerciële afspraken niet.

Wat betekent dit voor mijn organisatie?

Per 25 mei 2018 zullen verwerkersovereenkomsten minimaal de hierboven genoemde bepalingen moeten bevatten. Bestaande verwerkersovereenkomsten kunnen worden gescreend om na te gaan of de genoemde bepalingen erin staan en, waar nodig, worden aangevuld met een wijziging van de overeenkomst. Bij nieuwe uitbestedingen kunnen nieuwe "AVG verwerkersovereenkomsten" worden gebruikt.

 

Zelf een AVG verwerkersovereenkomst maken?

Onze verwerkersovereenkomst generatoren:

Verwerkersovereenkomst dienstverleners AVG

Verwerkersovereenkomst Hosting

Verwerkersovereenkomst Cloud

Verwerkersovereenkomst ZZP-ers

 


In deze serie blog:

1. Verwerkersovereenkomsten uitbreiden
2. Nieuwe regels over gegevens van kinderen
3. Datamap aanleggen
4. Toestemmingseisen worden strenger
5. Regels over profilering
6. Soms is een Privacy Impact Assessment (PIA) verplicht
7. Soms is een Functionaris Gegevensbescherming (FG) verplicht
8. Het recht op "dataportabiliteit"
9. Waar mogelijk "privacy by design" en "privacy by default" toepassen
10. Privacyverklaring moet uitgebreider

Versturen

Developed by Structura. Powered by nopCommerce. Copyright 2018 Smith&Doe. Alle rechten voorbehouden.