0297 - 38 52 55
0297 - 38 52 55
info@solidq.nl


De AVG in tien stappen: deel acht

26 februari 2018

Van datalekken naar verwerkersovereenkomsten. Het is een kleine stap, zo lijkt het. Laten we eerst eens even kijken wat een verwerkersovereenkomst nou eigenlijk is, dan kun je daarna besluiten of jouw bedrijf een dergelijke overeenkomst nodig heeft.

Stap 8: Een verwerkersovereenkomst
Onder de nu nog geldende wet ‘bescherming persoonsgegevens’ bestond het fenomeen gegevens bewerken door derden ook al. Bewerken heet onder de AVG ineens verwerken (beter vertaald vanuit het Engelse ‘processing’), de bedoeling blijft gelijk. Zodra je privacygevoelige informatie levert aan een derde, een verwerker, is er een verwerkersovereenkomst verplicht. Het klinkt als iets dat je niet snel zult doen, maar denk eens aan een salarisadministratie die je hebt uitbesteed. Of een (Europese) aanbieder van e-mailmarketing die je inzet voor jouw maandelijkse nieuwsbrief. In die gevallen zul je dus een verwerkersovereenkomst met het desbetreffende bedrijf moeten sluiten.

In de overeenkomst staan een aantal vaste onderwerpen, zoals het doel van de overeenkomst, iets over de beveiliging en geheimhouding van de gegevens en instructies over hoe het bedrijf de gegevens moet verwerken. Uiteraard kan er nog veel meer in zo’n overeenkomst staan, maar deze onderdelen zijn in ieder geval verplicht. Net als de afspraak dat de gegevens aan het einde van de overeenkomst worden verwijderd of vernietigd. Net zoals jouw bedrijf moet meewerken aan audits van de Autoriteit Persoonsgegevens, is dit bedrijf verplicht om mee te werken aan audits die jij wilt voeren. Het is verstandig om dit ook in de overeenkomst te zetten.

Vergelijken we deze overeenkomsten met die, die de huidige WBP voorschrijft, dan zijn er toch een paar verschillen. Het is, algemeen gezegd, iets bewerkelijker geworden. Onder de WBP kan een verwerker in de overeenkomst de aansprakelijkheid uitsluiten. In de AVG is dit niet meer mogelijk. De verwerkersovereenkomst is hier cruciaal geworden. Het verplicht de verwerker kort gezegd tot medeverantwoordelijkheid. De verwerker moet dus ook voldoen aan alle documentatie-eisen die de AVG ook aan jouw bedrijf stelt.

Ten slotte: denk niet te licht over deze overeenkomsten. Ga na of je deze nodig hebt. Het ontbreken van een correcte verwerkersovereenkomst kan je op een lelijke boete komen te staan.

Door naar negen
Nog twee te gaan. Lees volgende keer met ons mee over de leidende toezichthouder.


Deze post is meer dan 2 maanden geleden gepubliceerd, waardoor het mogelijk is dat sommige cijfers, feiten of functies inmiddels zijn achterhaald. Houd hier rekening mee bij het lezen van dit artikel. Bekijk de nieuwste artikelen op de SolidQ blog.

Bel: 0297 - 38 52 55
Of laat ons contact met u opnemen
Enkele gegevens ontbreken of zijn onjuist