Laatst geüpdatet op januari 26, 2024
In dit digitale tijdperk, waar gegevens overal om ons heen zijn, is het beschermen van deze gegevens belangrijker dan ooit. Een sleutelrol in deze bescherming wordt gespeeld door iets wat we een ‘verwerkersovereenkomst’ noemen. Maar wat is dit precies en waarom is het zo belangrijk?
Of je nu een ondernemer, een freelancer, of gewoon iemand bent die nieuwsgierig is naar hoe persoonsgegevens worden beheerd en beschermd, dit artikel helpt je om de essentie van de verwerkersovereenkomst te begrijpen.
We duiken in de wereld van de AVG, verkennen wat een verwerkersovereenkomst inhoudt en waarom het een cruciaal instrument is voor zowel bedrijven als individuen om de privacy te waarborgen in een steeds meer verbonden wereld.
Ook interessant:
- Interview met een van onze specialisten: Joop Jansen
- Persoonsgegevens verwerken
- AVG Checklist: 5 To Do’s onder de nieuwe EU privacywet
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een speciale overeenkomst tussen twee partijen: de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’. In het dagelijks leven kun je dit zien als een afspraak tussen een bedrijf dat persoonsgegevens verzamelt (zoals een online winkel die klantgegevens opslaat) en een ander bedrijf dat deze gegevens namens hen verwerkt (denk aan een cloudservice die de klantgegevens opslaat en beheert).
De verwerkersovereenkomst is niet zomaar een formele afspraak. Het is een essentieel onderdeel van de privacybescherming onder de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywetgeving. Het doel? Zorgen dat beide partijen duidelijke afspraken maken over hoe ze omgaan met persoonsgegevens om de privacy en beveiliging van deze gegevens te garanderen.
Artikel 28, lid 3 van de AVG
Artikel 28, lid 3 van de AVG speelt een sleutelrol in alles wat te maken heeft met de verwerkersovereenkomst. Dit artikel stelt dat, wanneer een verwerker wordt ingeschakeld, een overeenkomst of een andere juridische handeling onder de Europese Unie of het lidstatenrecht, die de verwerker bindt aan de verwerkingsverantwoordelijke, verplicht is.
In deze overeenkomst moet specifiek aangegeven worden welke verwerkingen plaatsvinden, onder welke voorwaarden en met welke beveiligingsmaatregelen. Kortom, het is een handleiding voor hoe er in de praktijk om moet worden gegaan met persoonsgegevens.
Wanneer sluit je een verwerkersovereenkomst?
Je sluit een verwerkersovereenkomst wanneer je als organisatie of persoon persoonsgegevens laat verwerken door een andere partij, en je zelf de verwerkingsverantwoordelijke bent voor deze gegevens. Dit is in lijn met de vereisten van de AVG binnen de Europese Unie.
Stel je voor: je hebt een bedrijf dat gebruikmaakt van een externe partij om klantgegevens te verwerken. Dit kan variëren van een cloudopslagdienst tot een marketingbureau dat klantanalyses uitvoert. In dergelijke gevallen is het cruciaal om een verwerkersovereenkomst te sluiten.
Eenvoudig gezegd, elke keer als jouw bedrijf, als ‘verwerkingsverantwoordelijke’, een externe ‘verwerker’ inzet om persoonsgegevens te verwerken, is een verwerkersovereenkomst vereist volgens artikel 28, lid 3 van de AVG.
Dit is niet alleen beperkt tot het uitbesteden van grote gegevensverwerkingstaken. Zelfs kleinere acties, zoals het gebruik van een e-maildienst om nieuwsbrieven te versturen, kunnen onder deze regel vallen. De kern van de zaak is dat als de externe partij toegang heeft tot of controle heeft over de persoonsgegevens van jouw klanten, een verwerkersovereenkomst noodzakelijk is.
Wie neemt het initiatief om een verwerkersovereenkomst te sluiten?
In de wereld van data en privacy is het vaak de verwerkingsverantwoordelijke die het initiatief neemt om een verwerkersovereenkomst te sluiten. Maar wat betekent dit precies? Laten we het verduidelijken met een voorbeeld.
Stel je hebt een webshop. Jij, als eigenaar van de webshop, verzamelt klantgegevens voor bestellingen en marketingdoeleinden. Je besluit een extern bedrijf in te schakelen voor het beheren van je klantendatabase. In dit geval ben jij de ‘verwerkingsverantwoordelijke’ omdat je bepaalt waarom en hoe persoonsgegevens worden verwerkt. Het externe bedrijf is de ‘verwerker’, omdat zij de gegevens namens jou verwerken.
Hoewel het meestal de verwerkingsverantwoordelijke is die het initiatief neemt, kan ook de verwerker dit doen. Zij hebben immers ook een verantwoordelijkheid onder de AVG om ervoor te zorgen dat de verwerking van gegevens op een veilige en wettelijke manier gebeurt. Dus, ongeacht wie het initiatief neemt, de verwerkersovereenkomst dient als een wederzijds commitment om persoonsgegevens te beschermen en te beheren volgens de wet.
Inhoud van een verwerkersovereenkomst
De verwerkersovereenkomst is het fundament voor een veilige en wettelijke verwerking van persoonsgegevens. Het is belangrijk dat deze overeenkomst zorgvuldig wordt opgesteld, zodat alle betrokken partijen duidelijkheid hebben over hun verplichtingen en rechten.
De inhoud van een verwerkersovereenkomst bestaat uit verschillende onderdelen, waaronder een aantal wettelijk verplichte onderdelen en bepaalde onderwerpen die behandeld moeten worden. We hebben de belangrijkste onderdelen hieronder voor je op een rijtje gezet:
- Soorten persoonsgegevens: duidelijke omschrijving van de gegevens die verwerkt zullen worden.
- Categorieën van betrokkenen: de groepen mensen waarvan de gegevens verwerkt worden, zoals klanten of medewerkers.
- Doel van de verwerking: het specifieke doel waarvoor de gegevens verwerkt worden, bijvoorbeeld marketing of klantenservice.
- Duur van de verwerking: hoe lang de gegevens bewaard en verwerkt zullen worden.
- Natuur en wijze van de verwerking: hoe en op welke wijze de gegevens verwerkt worden.
- Beveiligingsmaatregelen: de maatregelen die genomen worden om de gegevens te beschermen.
- Rechten van betrokkenen: hoe de rechten van de personen van wie de gegevens verwerkt worden, worden gewaarborgd.
- Subverwerkers: indien van toepassing, een specificering van welke andere partijen betrokken zijn bij de verwerking van de gegevens.
- Verantwoordelijkheden van de verwerker: de taken en verplichtingen van de verwerker met betrekking tot de gegevensverwerking.
- Beveiligingsmaatregelen: gedetailleerde informatie over de technische en organisatorische maatregelen voor gegevensbescherming.
- Overdracht van gegevens: voorwaarden rondom de overdracht van gegevens, bijvoorbeeld naar andere landen.
- Beëindiging van de overeenkomst: procedures bij het beëindigen van de overeenkomst, inclusief de omgang met de gegevens na beëindiging.
- Auditrechten: het recht om naleving van de overeenkomst te controleren.
Door al deze onderdelen op te nemen in de verwerkersovereenkomst, zorg je voor een robuuste en duidelijke regeling die voldoet aan de eisen van de AVG en de belangen van alle partijen beschermt.
De AVG staat boven de verwerkersovereenkomst
Hoewel een verwerkersovereenkomst essentieel is, is het belangrijk te onthouden dat de AVG altijd voorrang heeft. Dit betekent dat de richtlijnen van de AVG leidend zijn bij het beoordelen van de juiste verwerking van persoonsgegevens, ongeacht wat er in de verwerkersovereenkomst staat.
Stel, in een verwerkersovereenkomst staat dat de verwerker de rol van verwerkingsverantwoordelijke op zich neemt. Dit lijkt misschien een eenvoudige overeenkomst, maar als het bedrijf dat de persoonsgegevens daadwerkelijk verzamelt en beslissingen neemt over hoe ze worden gebruikt (de ‘verwerkingsverantwoordelijke’), kunnen zij niet zomaar hun verantwoordelijkheden overdragen.
De AVG bepaalt dat de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt, altijd de verwerkingsverantwoordelijke blijft. Dit betekent dat de verantwoordelijkheden en plichten die bij deze rol horen, zoals de verantwoordelijkheid voor datalekken of de naleving van de rechten van betrokkenen, niet via een overeenkomst kunnen worden verschoven.
Het is daarom cruciaal dat alle partijen die betrokken zijn bij de verwerking van persoonsgegevens zich bewust zijn van hun rollen en verantwoordelijkheden zoals gedefinieerd door de AVG. Een verwerkersovereenkomst moet deze rollen en verantwoordelijkheden weerspiegelen en kan dus niet worden gebruikt om deze te wijzigen of te omzeilen.
Mogelijke gevolgen van het niet hebben van een verwerkersovereenkomst
Het negeren van de vereiste om een verwerkersovereenkomst te sluiten kan serieuze gevolgen hebben. Zonder zo’n overeenkomst loop je zowel als verwerkingsverantwoordelijk als verwerker aanzienlijke risico’s, zowel op juridisch als op operationeel vlak.
Als je geen verwerkersovereenkomst hebt, ben je in overtreding van de AVG. Dit kan leiden tot aanzienlijke boetes, die kunnen oplopen tot miljoenen euro’s of een bepaald percentage van je wereldwijde jaaromzet. Daarnaast kan het niet naleven van de AVG de reputatie van jou of jouw bedrijf schaden, wat weer kan leiden tot verlies van vertrouwen bij klanten en partners.
Maar er zijn meer risico’s. Zonder duidelijke afspraken over de verwerking van persoonsgegevens, ontstaat er onzekerheid over wie verantwoordelijk is voor het beveiligen van deze gegevens en hoe dit moet gebeuren. Dit kan leiden tot beveiligingslekken, met alle gevolgen van dien, zoals diefstal van gegevens, identiteitsfraude, en schadeclaims van betrokkenen wiens gegevens zijn gelekt.
Kortom, het hebben van een solide verwerkersovereenkomst is niet alleen een wettelijke vereiste; het is ook nodig om de gevoelige gegevens van personen te beschermen. Het zorgt voor helderheid, vermindert risico’s en helpt bij het opbouwen van vertrouwen bij klanten en partners. Een goed opgestelde verwerkersovereenkomst is dus van onschatbare waarde voor elke organisatie die met persoonsgegevens werkt.