Wanneer een verwerkersovereenkomst?

Op het moment dat je persoonsgegevens gaat verwerken heb je rekening te houden met de Europese privacywetgeving: de AVG ofwel de GDPR. Jij bent dan verantwoordelijke. Laat je deze persoonsgegevens ook nog door of bij een derde verwerken (verwerker), dan ben je verplicht om een verwerkersovereenkomst met deze derde af te sluiten. Een verwerkersovereenkomst wordt ook wel data processing agreement genoemd.

Zodra je als verantwoordelijke persoonsgegevens door een derde partij laat verwerken (de verwerker), moet je afspraken met deze derde partij te maken. Deze afspraken worden vastgelegd in een verwerkersovereenkomst

Twee voorbeelden van een situaties waarbij een verwerkersovereenkomst vereist is:

1. Een ondernemer heeft een website en heeft hiervoor een overeenkomst met een provider afgesloten. Daar via de website en het E-Mail adres persoonsgegevens verwerkt kunnen worden moeten de beide partijen een verwerkingsovereenkomst afsluiten;
2. Een werkgever heeft een online salarisverwerkingssysteem. Het salarisverwerkingssysteem bevat de persoonsgegevens van alle werknemers. De aanbieder van het online salarisverwerkingssysteem wordt gezien als verwerker. Zij verwerkt namelijk in opdracht van de werkgever (verantwoordelijke) de persoonsgegevens van de werknemers. De werkgever zal dus met de aanbieder van het systeem (de verwerker) een verwerkersovereenkomst moeten afsluiten.

Inhoud verwerkersovereenkomst

In een verwerkersovereenkomst het doel en de categorieën persoonsgegevens beschreven. Ook wordt hierin wat er met de persoonsgegevens moet gebeuren bij beeindiging van de overeenkomst.  Tevens worden ook de technische en organisatorische beveiligingsmaatregelen (TOM) vastgelegd.

Een verwerkersovereenkomst mag onderdeel zijn van de (initiële) hoofdovereenkomst. Deze overeenkomst mag ook een apart document zijn. Hierbij moet er dan wel voor gezorgd worden dat het duidelijk wordt waar ( op welke overeenkomst) dit document zich op betrekt.

In artikel 28 lid 3 AVG worden een aantal vast te leggen onderwerpen opgesomd. Bij het opstellen van een verwerkersovereenkomst is het verstandig om de volgende bepalingen op te nemen:

1. Contractpartijen, wie zijn partij bij deze overeenkomst; 
2. Overwegingen waarin de rollen van de verschillende partijen worden benoemd;
3. Begrippen, zodat termen als “persoonsgegevens” en “datalek” door alle partijen op dezelfde manier worden uitgelegd;
4. Wijze en duur verwerking, waarbij je aangeeft welke persoonsgegevens voor welke duur worden verwerkt;
5. Datalekken, wat moet een verwerker doen wanneer er een datalek is ontdekt;
6. Battle of forms, hiermee wordt gedoeld op bepalingen in de verwerkersovereenkomst en (bijv.) de algemene voorwaarden, welke bepaling gaat voor;
7. Teruggave van persoonsgegevens of het vernietigen van persoonsgegevens bij beëindiging van de overeenkomst;
8. Beveiliging, welke maatregelen neemt de verwerker bij het verwerken van de persoonsgegevens voor de verantwoordelijke;
9. Auditen, hoe de controle van de beveiliging en naleving van de bepalingen in de overeenkomst plaatsvindt;
10. Afspraken over de inzet van derde partijen (subverwerkers) door de verwerker;
11. Internationale verwerking, verwerking buiten de EER en de waarborgen;
12. Toepasselijk recht, welk recht is van toepassing indien je internationale afspraken maakt.

Vragen over de verwerkersovereenkomst

Heb je vragen over de inhoud van een verwerkersovereenkomst, wilt je een verwerkersovereenkomst laten nakijken of een verwerkersovereenkomst laten opstellen?

Neem dan contact met ons op en wij helpen je graag verder met deze overeenkomst.