AVG: Verwerkersovereenkomst

Waarom en met wie moet ik een verwerkersovereenkomst afsluiten?

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat een verwerkersovereenkomst moet worden afgesloten tussen twee partijen, waarin de ene partij, maar eventueel ook over en weer, persoonsgegevens verwerkt voor de andere partij. In een verwerkersovereenkomst worden onder andere de rechten en plichten van zowel de verwerker als de verwerkingsverantwoordelijke met betrekking tot de persoonsgegevens vastgelegd.

Enkele voorbeelden van wie zo’n derde partij zou kunnen zijn: een bedrijf dat het elektronisch patiëntendossier programma faciliteert, een bedrijf dat zorgt voor de salarisadministratie van het personeel of een bedrijf dat een programma faciliteert waarin de persoons- of medische gegevens van patiënten zijn opgeslagen.

Wat moet er in een verwerkersovereenkomst worden vastgelegd?

Hoewel je per geval naar de specifieke omstandigheden dient te kijken, moeten volgens de AVG tenminste de volgende zaken in de verwerkersovereenkomst orden vastgelegd:

Algemene beschrijving

Onder algemene beschrijving worden de volgende zaken bedoeld: de omschrijving van het onderwerp, de duur van de overeenkomst, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en plichten van de verwerkingsverantwoordelijke. Het voorgaande kan bijvoorbeeld in de considerans van de overeenkomst worden opgenomen.

Instructies verwerking

De verwerker verwerkt de persoonsgegevens alleen onder de schriftelijke instructies van de verwerkingsverantwoordelijke. Ook mag de verwerker de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht

Er wordt alleen toegang tot de persoonsgegevens gegeven aan personen in dienst van of werkzaam voor de verwerker die daartoe gemachtigd zijn. Deze personen hebben tevens een geheimhoudingsplicht.

Beveiliging

De verwerker moet passende technische en organisatorische maatregelen treffen om de verwerking van persoonsgegevens te beveiligen. Deze maatregelen moeten minimaal van hetzelfde niveau zijn als de verwerkingsverantwoordelijke hanteert. Het kan dan bijvoorbeeld gaan om de versleuteling van persoonsgegevens, permanente informatiebeveiliging en regelmatige beveiligingstesten.

Subverwerkers

De verwerker mag alleen subverwerker(s) inschakelen indien hij voorafgaand de schriftelijke toestemming van de verwerkingsverantwoordelijke heeft ontvangen. In de overeenkomst mag ook worden afgesproken onder welke voorwaarden de verwerker subverwerkers mag inschakelen. De subverwerker heeft dezelfde verplichtingen als de verwerker. Die verplichtingen worden door een verwerker in een subverwerkersovereenkomst vastgelegd. De verwerker is ook volledig aansprakelijk voor het nakomen van de verplichtingen van de subverwerker.

Privacyrechten

Onder de AVG hebben betrokkenen (patiënten/cliënten) diverse privacyrechten (bijvoorbeeld het recht op inzage, correctie, vergetelheid en dataportabiliteit). De verwerker is verplicht de verwerkingsverantwoordelijke bij te staan om te voldoen aan deze plichten als betrokkenen deze rechten uitoefenen.

Gegevens verwijderen

In beginsel verwijdert de verwerker de persoonsgegevens na beëindiging van de overeenkomst. Partijen kunnen ook afspreken dat de verwerker de persoonsgegevens retourneert. Bij het invullen van deze bepaling dient de verwerker na te gaan of hij een wettelijke plicht heeft om de persoonsgegevens te bewaren.

Audits

De verwerker is verplicht mee te werken aan de audits van de verwerkingsverantwoordelijke of die van een derde partij en stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.

Overige verplichtingen

De verwerker heeft tenslotte ook de plicht om aan de andere verplichtingen, die de verwerkersverantwoordelijke heeft, mee te werken. De verwerkersverantwoordelijke heeft bijvoorbeeld de verplichting om datalekken te melden en het uitvoeren van een gegevensbeschermingseffectbeoordeling.

De AVG geeft zo al duidelijke handvatten voor het opstellen van de verwerkersovereenkomst. Echter het is van belang om per geval te kijken wat er specifiek nodig is en aan de hand daarvan een verwerkersovereenkomst vast te stellen.

Wil je weten of jouw verwerkersovereenkomst AVG-proof is? Of wil jij hierover met ons sparren? Neem dan contact op met:
(+31) 020 - 8940700
(+31) 06 - 52456079
  • Deel dit bericht via: