+49 4284 927 838
office@avggereed.nl
NL DE TERUGBELSERVICE

AVG – ADVIES & ONDERSTEUNING

Gegevensbescherming as a Service
Menu
  • Home
    • DPO as a Service
    • FG as a Service
  • Privacyverklaring
  • Bedrijfsgegevens

Verwerkersovereenkomst

Wanneer een verwerkersovereenkomst?

Op het moment dat je persoonsgegevens gaat verwerken heb je rekening te houden met de Europese privacywetgeving: de AVG ofwel de GDPR. Jij bent dan verantwoordelijke. Laat je deze persoonsgegevens ook nog door of bij een derde verwerken (verwerker), dan ben je verplicht om een verwerkersovereenkomst met deze derde af te sluiten. Een verwerkersovereenkomst wordt ook wel data processing agreement genoemd.

Zodra je als verantwoordelijke persoonsgegevens door een derde partij laat verwerken (de verwerker), moet je afspraken met deze derde partij te maken. Deze afspraken worden vastgelegd in een verwerkersovereenkomst

Twee voorbeelden van een situaties waarbij een verwerkersovereenkomst vereist is:

  1. Een ondernemer heeft een website en heeft hiervoor een overeenkomst met een provider afgesloten. Daar via de website en het E-Mail adres persoonsgegevens verwerkt kunnen worden moeten de beide partijen een verwerkingsovereenkomst afsluiten;
  2. Een werkgever heeft een online salarisverwerkingssysteem. Het salarisverwerkingssysteem bevat de persoonsgegevens van alle werknemers. De aanbieder van het online salarisverwerkingssysteem wordt gezien als verwerker. Zij verwerkt namelijk in opdracht van de werkgever (verantwoordelijke) de persoonsgegevens van de werknemers. De werkgever zal dus met de aanbieder van het systeem (de verwerker) een verwerkersovereenkomst moeten afsluiten.

Inhoud verwerkersovereenkomst

In een verwerkersovereenkomst het doel en de categorieën persoonsgegevens beschreven. Ook wordt hierin wat er met de persoonsgegevens moet gebeuren bij beeindiging van de overeenkomst.  Tevens worden ook de technische en organisatorische beveiligingsmaatregelen (TOM) vastgelegd.

Een verwerkersovereenkomst mag onderdeel zijn van de (initiële) hoofdovereenkomst. Deze overeenkomst mag ook een apart document zijn. Hierbij moet er dan wel voor gezorgd worden dat het duidelijk wordt waar ( op welke overeenkomst) dit document zich op betrekt.

In artikel 28 lid 3 AVG worden een aantal vast te leggen onderwerpen opgesomd. Bij het opstellen van een verwerkersovereenkomst is het verstandig om de volgende bepalingen op te nemen:

  1. Contractpartijen, wie zijn partij bij deze overeenkomst; 
  2. Overwegingen waarin de rollen van de verschillende partijen worden benoemd;
  3. Begrippen, zodat termen als “persoonsgegevens” en “datalek” door alle partijen op dezelfde manier worden uitgelegd;
  4. Wijze en duur verwerking, waarbij je aangeeft welke persoonsgegevens voor welke duur worden verwerkt;
  5. Datalekken, wat moet een verwerker doen wanneer er een datalek is ontdekt;
  6. Battle of forms, hiermee wordt gedoeld op bepalingen in de verwerkersovereenkomst en (bijv.) de algemene voorwaarden, welke bepaling gaat voor;
  7. Teruggave van persoonsgegevens of het vernietigen van persoonsgegevens bij beëindiging van de overeenkomst;
  8. Beveiliging, welke maatregelen neemt de verwerker bij het verwerken van de persoonsgegevens voor de verantwoordelijke;
  9. Auditen, hoe de controle van de beveiliging en naleving van de bepalingen in de overeenkomst plaatsvindt;
  10. Afspraken over de inzet van derde partijen (subverwerkers) door de verwerker;
  11. Internationale verwerking, verwerking buiten de EER en de waarborgen;
  12. Toepasselijk recht, welk recht is van toepassing indien je internationale afspraken maakt.

Vragen over de verwerkersovereenkomst

Heb je vragen over de inhoud van een verwerkersovereenkomst, wilt je een verwerkersovereenkomst laten nakijken of een verwerkersovereenkomst laten opstellen?

Neem dan contact met ons op en wij helpen je graag verder met deze overeenkomst.

Nog niet AVG compliant?

Investeer een uur van jouw kostbare tijd!

In een kort interview van 1-2 uur kom ik erachter welke 'verwerking' van persoonsgegevens plaatsvindt in jouw organisatie en welke privacymaatregelen jij vandaag al gebruikt.

Na het interview en de analyse van jouw website, werk ik op de achtergrond de voor jou op maat gemaakte documentatie, de bijbehorende gegevensbeschermingsverklaringen en contractsjablonen uit.

Artikel 28 AVG

1. Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

2. De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

3.   De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

lees nu hier verder

Over AVG gereed

Ik heb een stappenplan ontwikkeld waarmee ondernemingen en organisaties op een relatief eenvoudige wijze snel kunnen voldoen aan de eisen van de AGV.

Eenvoudig wil niet zeggen dat het met een uurtje werk gedaan is. De AGV bevat 99 artikelen. Er valt dus heel wat te doen, maar doordat we alles stap voor stap doorlopen, missen we niets.

Aan het eind van de weg is er een complete documentatie aanwezig waarmee je kunt aantonen dat jouw onderneming of organisatie alle de noodzakelijke maatregelen heeft genomen.

Contactgegevens

WBS Internet Advertising

Hoofdvestiging: Westonstraat 26, 1976 BH IJmuiden, Nederland
Administratief adres: Waldstraße 2, 27446 Anderlingen Duitsland

Telefoon: +49 4284 927 838 / E-Mail: office@wbs2000.nl

Copyright © 2019 AVG Gereed. All Rights Reserved
Design by WBS&SKT Webdesign