Ga naar de hoofdinhoud
Home De 6 meestgestelde vragen over verwerkersovereenkomsten
europa privacywetgeving

De 6 meestgestelde vragen over verwerkersovereenkomsten

24 april 2018

De Algemene Verordening Gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. Deze verordening bepaalt hoe je moet omgaan met persoonsgegevens en wat hieronder wordt verstaan.

Laat jij een andere partij de gegevens van jouw klanten of personeel verwerken? Dan is die partij de verwerker en ben jij verantwoordelijke. Jullie zijn beiden wettelijk verplicht om samen een verwerkersovereenkomst te sluiten. Denk hierbij bijvoorbeeld aan het uitbesteden van de salarisadministratie en het laten versturen van nieuwsbrieven, maar ook aan de ICT-leverancier die software levert en die extern beheert.

Het vastleggen van privacy-afspraken

Er zijn nog veel vragen over het vastleggen van privacy-afspraken met leveranciers. Dat bleek tijdens een kennissessie die wij laatst samen met ASR organiseerden voor adviseurs. Ook van andere ondernemers krijgen wij veel vragen. Hieronder zetten we de zes meestgestelde vragen op een rij.

1. Wat leg ik vast in een verwerkersovereenkomst?

  • Het soort persoonsgegevens dat wordt verwerkt
  • De categorieën betrokkenen (de personen van wie de persoonsgegevens worden verwerkt)
  • Waarvoor de persoonsgegevens mogen worden verwerkt.
  • Welke veiligheidsmaatregelen getroffen moeten worden.
  • Waar de persoonsgegevens worden opgeslagen.
  • De rechten en plichten van de verantwoordelijke, bijvoorbeeld het recht om een audit uit te voeren (dit wordt vaak vergeten!)
  • Of de verwerker sub-verwerkers mag inschakelen voor de verwerking.
  • Hiernaast gelden nog een aantal bijzondere vereisten

2. Wat is het verschil tussen een verantwoordelijke en een verwerker?
De verantwoordelijke bepaalt het doel van de verwerking, maar de dienstverlener (verwerker) verzorgt de uitvoering. In sommige gevallen is het anders. Laat je dan adviseren door een deskundige.

3. Ik werk al jaren met dezelfde verwerker met wie ik nooit een verwerkersovereenkomst heb afgesloten. Moet ik dat nog alsnog doen?
Ja, dat ben je wettelijk verplicht. Als je het niet doet, overtreed je de wet.

4. Ik heb een modelovereenkomst van mijn leverancier gekregen. Kan ik die ook tekenen?
Dat kan, maar hangt uiteraard af van de inhoud van de modelovereenkomst. Een leverancier legt zichzelf mogelijk minder vergaande verplichtingen op en zal de aansprakelijkheid zo veel mogelijk bij jou leggen, dus lees die kritisch. Soms biedt zo’n modelovereenkomst niet voldoende waarborg voor jou als verantwoordelijke. Het is altijd raadzaam om juridisch advies in te winnen of een eigen overeenkomst op te sturen.

5. Is het voldoende als de leverancier een privacybepaling heeft opgenomen in de samenwerkingsovereenkomst?
Nee, dat is vaak onvoldoende. Meestal is zo’n privacybepaling te summier en staat daarin alleen dat de opdrachtgever verantwoordelijk is en de leverancier uitsluitend optreedt als verwerker, gevolgd door een beperkt aantal rechten en plichten. Dat moet je vaak nog uitbreiden, zodat de verantwoordelijke goed grip kan houden op de verwerker.

Meer weten?

Meer weten over de AVG? Of over wat DAS eventueel voor je kan doen? Check dan op de website van DAS of jouw organisatie AVG-proof is.

- Meinoud Rost van Tonningen
Business Development Manager, DAS


Meer verhalen over Verzekeren