Laatst geüpdated op juli 3, 2023

Gebruik jij Google om statistieken van je website of app te bekijken? Besteed jij je administratie uit aan een payrollbedrijf? Of gebruik jij social media om in contact te komen met klanten? Dan gebruik je een derde partij om persoonsgegevens te verwerken.

In principe is het toegestaan om voor de verwerking van persoonsgegevens andere bedrijven in te huren, maar je moet dan wel een zogenaamde verwerkersovereenkomst afsluiten met deze derde partij.

De eisen onder de nieuwe EU privacywet (AVG) zijn strenger dan onder de eerder geldende Wbp, dus afspraken met de derde partij moet je goed vastleggen. Wil je precies weten welke afspraken jij moet vastleggen in een verwerkersovereenkomst? Lees dan snel deze blog!

Ook interessant:

  1. Interview met een van onze specialisten: Joop Jansen
  2. Persoonsgegevens verwerken
  3. AVG Checklist: 5 To Do’s onder de nieuwe EU privacywet

Wil je nu weten hoe privacy proof jouw bedrijf is? Doe dan de AVG Privacy Scan!

Wat is een verwerkersovereenkomst AVG?

Een verwerkersovereenkomst is een juridisch document dat de verantwoordelijkheden en verplichtingen van een verwerker van persoonsgegevens regelt ten opzichte van de verantwoordelijke partij.

De overeenkomst is bedoeld om de privacy van de betrokkenen te beschermen en ervoor te zorgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

Wanneer heb je een verwerkersovereenkomst nodig?

Je hebt een verwerkersovereenkomst nodig wanneer je als verantwoordelijke partij persoonsgegevens laat verwerken door een derde partij, oftewel een verwerker. Dit is bijvoorbeeld het geval wanneer een bedrijf een externe partij inschakelt voor het verwerken van persoonsgegevens, zoals een IT-bedrijf dat de hosting van een website verzorgt.

De verwerkersovereenkomst regelt in dat geval de wederzijdse verplichtingen en verantwoordelijkheden van de verantwoordelijke partij en de verwerker. Het is essentieel dat de verwerkersovereenkomst juist wordt opgesteld en dat je een externe partij kiest die voldoet aan de vereisten volgens de AVG.

Wat staat er in een verwerkersovereenkomst?

De verwerkersovereenkomst is een overeenkomst tussen jouw bedrijf, de “verantwoordelijke”, en de derde partij die jouw gegevens verwerkt, de “verwerker”. Deze overeenkomst regelt hoe de verwerker met de door jou verzamelde persoonsgegevens om moet gaan.

Een verwerkersovereenkomst kan allerlei bepalingen bevatten, maar de volgende bepalingen zijn in ieder geval verplicht om de verwerkersovereenkomst op te nemen:

  1. De basis van de overeenkomst: in de verwerkersovereenkomst leg je de duur van de overeenkomst vast en het doel waarvoor de persoonsgegevens worden verwerkt. Van belang is dat wordt opgenomen om wat voor soort persoonsgegevens de overeenkomst draait. Vergeet niet om alles omtrent de rechten en verplichtingen van jouzelf als “verantwoordelijke” in de verwerkersovereenkomst op te nemen!
  2. Rechten van betrokkenen: als verantwoordelijke heb je bepaalde verplichtingen naar de betrokkene personen van wie je de gegevens verzamelt en verwerkt (“betrokkenen”). Privacy rechten van betrokkenen zijn bijvoorbeeld het recht op correctie en inzage. De verwerker helpt jou als verantwoordelijke met het uitvoeren van deze plichten.
  3. Verplichtingen van de verwerker: in de verwerkersovereenkomst moet staan dat de verwerker de persoonsgegevens alleen verwerkt met hetzelfde doel als waar jij de persoonsgegevens voor hebt verzameld. Stel dat jij gegevens van je personeel verzamelt voor je salarisadministratie, dan mag de verwerker de gegevens niet gebruiken om advertenties naar jouw personeelsleden te sturen. Verder moet de verwerker een eventueel datalek melden en kan de verwerker jou helpen met een DPIA wanneer jij deze dient uit te voeren. Voor het uitvoeren van een DPIA is het ook mogelijk om een DPO in te schakelen.
  4. Geheimhoudingsplicht: de verwerker heeft de verplichting om geheimhoudingsovereenkomsten te sluiten met freelancers, medewerkers en overige betrokken personen die in dienst zijn van de verwerker en die te maken hebben met de persoonsgegevens. Deze overeenkomsten moeten wat betreft inhoud gelijk zijn aan de verwerkersovereenkomst.
  5. Persoonsgegevens beveiligen: de verwerker moet maatregelen – zowel technisch als organisatorisch – nemen om zo de verwerking van de persoonsgegevens veilig te stellen. Denk hierbij aan bijvoorbeeld beveiligingstesten of aan de versleuteling van de persoonsgegevens.
  6. Inschakelen van sub-verwerkers: wil je dat de verwerker andere bedrijven inhuurt voor de verwerking van persoonsgegevens? Of wil je dat juist voorkomen? Dan is het handig om hierover een bepaling in je verwerkersovereenkomst op te nemen. Dit andere bedrijf is dan een “sub-verwerker”. De verwerker mag zo’n bedrijf niet inschakelen zonder jouw toestemming. Daarom is het noodzakelijk om dit vast te leggen. De verplichtingen blijven hetzelfde, ze worden alleen uitbesteed aan een ander bedrijf dan de verwerker. De verwerker blijft aansprakelijk mocht de sub-verwerker de verplichtingen niet nakomen.

Download de gratis Rechtsvorm Gids & lees alles over het kiezen van de juiste rechtsvorm

Aansprakelijkheid bij een verwerkersovereenkomst

Wist je dat jij, ook als jij een ander bedrijf inhuurt voor het verwerken van persoonsgegevens, nog steeds zelf verantwoordelijk bent voor de gegevens die verwerkt worden! Als er een datalek is, kan je dus nog steeds aansprakelijk worden gesteld voor de schade die daardoor ontstaat.

Ligo tip: wist je dat je bij Ligo snel en makkelijk een verwerkersovereenkomst voorbeeld kan downloaden?

Waarom is een (goede) verwerkersovereenkomst essentieel?

Er moet heel veel zaken rekening gehouden worden om een goede verwerkersovereenkomst op te stellen. De AVG is een erg strenge wet met veel specifieke eisen. Om boetes en aansprakelijkheden te voorkomen is het dus van belang dat je een goede verwerkersovereenkomst opstelt!

Gelukkig kan Ligo jou hierbij helpen: wij hebben een verwerkersovereenkomst opgesteld waarin alle belangrijke afspraken staan die jij met jouw verwerkers dient te maken. Daarnaast kunnen onze privacy advocaten je altijd verder helpen als je vragen hebt.

Hoe kan ik mijn bedrijf AVG-proof maken?

De AVG stelt hoge eisen aan bedrijven wat betreft privacy. Als je die eisen niet naleeft, kan je enorme boetes krijgen. We kunnen dus niet genoeg benadrukken hoe belangrijk het is dat je je aan de EU privacywet houdt. Maar hoe kan je dit het handigst doen?

  1. Advocaat inschakelen: het voordeel van deze optie is dat het zeker is dat je AVG-proof bent, indien je de instructies van de advocaat opvolgt. Het nadeel van deze optie is dat dit honderden dan wel duizenden euro’s kan gaan kosten.
  2. Onderneming AVG-proof maken: het voordeel van deze optie is dat je je bedrijf geheel kosteloos AVG-proof kan maken, zonder je huis ervoor te verlaten. Het nadeel is dat je je er niet verzekerd van bent dat wat je doet ook juridisch correct is. Bovendien ben je waarschijnlijk ontzettend veel tijd kwijt aan het uitvogelen van wat je precies moet doen en met het doorvoeren van alle noodzakelijke aanpassingen.
  3. Aansluiten bij Ligo: hij Ligo ben je je ervan verzekerd dat alle juridische documenten in de database op tijd aan de eisen van de AVG zullen worden aangepast. Hiernaast helpen wij je met een AVG-scan en een AVG-stappenplan. Ook zal je een melding ontvangen in je mailbox ontvangen zodra onze juridische documenten, waaronder onze verwerkersovereenkomst, onze scan en ons stappenplan klaar staan.

Happy entrepreneuring!

Wendy Bogers
Laatste berichten van Wendy Bogers (alles zien)