Overslaan en ga naar inhoud
MKB (5-250 medewerkers)
MKB (5-250 medewerkers)
Grootzakelijk (250+ medewerkers)
Grootzakelijk (250+ medewerkers)

Voldoen aan de AVG: heeft u een verwerkersovereenkomst nodig?

De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywetgeving, die sinds 25 mei 2018 in de hele Europese Unie (EU) van toepassing is. De AVG gaat over de bescherming van persoonsgegevens. De AVG geldt voor alle bedrijven, stichtingen en verenigingen die persoonsgegevens verwerken. En als u dat doet, dan kan een verwerkersovereenkomst noodzakelijk zijn. In dit artikel leggen wij u uit hoe dat zit. 

Als u persoonsgegevens verwerkt én zaken uitbesteedt aan anderen, kan een verwerkersovereenkomst nodig zijn. Ook om te voldoen aan de AVG. Lees er alles over in dit artikel. Ook interessant: AVG voor ondernemers - wat betekent het voor uw bedrijf?

Op het moment dat een verwerker (meestal een toeleverancier of een dienstverlener) de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid vallen van ‘een verantwoordelijke’ dan is een verwerkersovereenkomst tegenwoordig vereist via de AVG. Een verwerkingsverantwoordelijke (dit is diegene die bepaalt met welk doel en waarmee de persoonsgegevens worden bewerkt) dient er zeker van te zijn dat de verwerker afdoende garanties biedt, zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In een verwerkersovereenkomst staan voorwaarden waarin wordt aangegeven hoe de verwerker met bepaalde persoonsgegevens dient om te gaan. In de AVG en dus ook in de verwerkersovereenkomst wordt aan de verwerker een grote verantwoordelijkheid toegekend. Want, het is natuurlijk niet de bedoeling dat de persoonsgegevens in verkeerde handen terechtkomen. 

Voldoen aan de AVG: heeft u een verwerkersovereenkomst nodig?

Wat is een verwerkersovereenkomst?

De verwerkersovereenkomst is een document waarin de rechten en verantwoordelijkheden van twee partijen die betrokken zijn bij de verwerking van persoonsgegevens zijn vastgelegd. Het is ook bekend als een uitbestedingsovereenkomst, dienstverlenersovereenkomst of een gegevensverwerkingsovereenkomst. In deze overeenkomst wordt vastgelegd hoe partijen dienen om te gaan met onder andere:

  • het verzamelen van persoonsgegevens
  • Opslag van persoonsgegevens
  • Overdracht van persoonsgegevens
  • Beveiligingsprotocollen
  • Gerelateerde activiteiten om de vertrouwelijkheid van persoonsgegevens te beschermen. 

Ook wordt de naleving van de toepasselijke wet- en regelgeving beschreven. Door ondertekening van de verwerkersovereenkomst gaan beide partijen akkoord met de daarin opgenomen voorwaarden. Daarnaast geeft het hebben van een verwerkersovereenkomst aan dat het een onderdeel is van bewijzen dat men zich aan de AVG houdt.

Met de juiste zorg gegevens behandelen

Deze overeenkomst biedt een duidelijk kader voor de verwerking en bescherming van gegevens en zorgt ervoor dat de persoonlijke informatie van personen met respect en zorg wordt behandeld volgens de regels van de AVG. Bovendien zorgt het ervoor dat beide partijen juridisch gebonden zijn aan de overeenkomst als er problemen ontstaan of wijzigingen moeten worden aangebracht. De verwerkersovereenkomst zal ook duidelijkheid verschaffen over wie verantwoordelijk is voor de behandeling van klachten van personen over hun privacy rechten of inbreuken op de gegevensbescherming.  

De verwerkersovereenkomst moet een beschrijving bevatten van de diensten die door de verwerker (gegevensbeheerder) worden geleverd, hun rollen en verantwoordelijkheden voor het verzamelen en beschermen van gebruikersgegevens. Tevens van eventuele derden die toegang hebben tot de gegevens of anderszins betrokken zijn bij de verwerking ervan. Ook voorwaarden voor wanneer de overeenkomst afloopt of wordt beëindigd, alsmede andere relevante clausules. 

Wie is de verwerker?

Waar de verwerkingsverantwoordelijke het doel en de middelen voor de verwerking bepaalt, is de verwerker een externe partij die de verwerking uitvoert. De verwerker krijgt opdracht om voor het doel dat door de verwerkingsverantwoordelijke is bepaald persoonsgegevens te verwerken. Een voorbeeld zou kunnen zijn dat u bij het doen van belastingaangifte een online boekhoudprogramma gebruikt. Dat programma is het middel, het doel is om uiteindelijk een correcte belastingaangifte te doen. Wanneer u vervolgens een externe accountant inhuurt om uw belastingaangifte te doen, dan is dat de verwerker. U bepaalt wat die accountant met de gegevens die u aanlevert doet, dus u bent de verwerkingsverantwoordelijke in dit geval.

Voldoen aan de AVG: heeft u een verwerkersovereenkomst nodig?

Wanneer is een verwerkersovereenkomst nodig?

Wanneer u verwerkingsverantwoordelijke bent en u wisselt persoonsgegevens uit met een derde is het niet direct vanzelfsprekend om hiervoor een verwerkersovereenkomst af te sluiten. Wanneer is een verwerkingsoverkomst dan wel nodig? Alleen als u de opdrachtnemer kwalificeert als verwerker is er een dergelijke overeenkomst nodig. Dit hangt samen met de manier waarop deze gegevens worden uitgewisseld.  

In sommige gevallen is een verwerkersovereenkomst niet nodig

  • In het geval van medeverantwoordelijkheid (wel verantwoordelijk over de persoonsgegevens, maar is geen verwerker) is er geen verwerkersovereenkomst vereist maar schrijft de AVG wel andere regels voor om e.e.a. vast te leggen tussen partijen. 
  • In de situatie van doorgifte (het doorsturen of uploaden van gegevens) wordt een overeenkomst niet voorgeschreven binnen de EU.   Desondanks is het aan te bevelen om per geval goed te bekijken en u hierover goed te laten informeren.  Bij het verwerken van persoonsgegevens is de juiste aandacht hiervoor nu eenmaal noodzakelijk. 

Desondanks is het aan te bevelen om per geval goed te bekijken en u hierover goed te laten informeren.  Bij het verwerken van persoonsgegevens is de juiste aandacht hiervoor nu eenmaal noodzakelijk. 

Wat staat er in een verwerkersovereenkomst?

Volgens de AVG dienen in een verwerkersovereenkomst een aantal van de volgende zaken te worden opgenomen:

  • Het onderwerp en de duur van de verwerking
  • De aard en het doel van de verwerking
  • Het soort persoonsgegevens en de categorieën van betrokkenen
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke. 

Wilt u weten wat de regels zijn bij beëindiging van de overeenkomst, de meldplicht bij een datalek of meer van dit soort zaken? U vindt alle informatie bij de Autoriteit Persoonsgegevens.

Ook interessant: 'Digital marketing #12: Welke gegevens vallen onder de AVG?'

Nieuwsbrief

Schrijf u in voor de nieuwsbrief

Lees ons volledige Privacy Statement