Inmiddels is de AVG alweer ruim 8 maanden in werking. Toch is het voor veel bedrijven en instellingen vaak nog niet helemaal duidelijk wanneer ze een verwerkersovereenkomst moeten afsluiten en wat hierin moet staan. In deze blog vertel ik hier meer over.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst (ook wel data processing agreement, afgekort DPA genoemd) vermeldt alle verantwoordelijkheden die met de verwerking van persoonsgegevens gemoeid zijn, indien een organisatie voor deze verwerking een derde (bijvoorbeeld een accountantskantoor) inschakelt. De organisatie die de persoonsgegevens verwerkt moet een verwerkersovereekomst opstellen omdat zij hierover een verantwoordingsplicht (accountability) heeft.

De verwerkingsverantwoordelijke (ook wel controller genaamd) is de persoon die in een organisatie het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Hierbij kun je bijvoorbeeld denken aan de persoonsgegevens van alle werknemers in een bedrijf die gebruikt worden voor het opstellen van de arbeidscontracten en maandelijkse salarisadministratie.

De verwerker (ook wel processor genaamd) is diegene die voor de verwerkingsverantwoordelijke de persoonsgegevens verwerkt, zonder dat deze aan zijn rechtstreeks gezag is onderworpen. Bijvoorbeeld een accountantskantoor of salarisadministratiekantoor dat periodiek de salarisadministratie voor het bedrijf verzorgd.

Een verwerkersovereenkomst is dan dus een schriftelijke overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker. Hierin wordt vastgelegd hoe de verwerker met alle vertrouwelijke persoonsgegevens moet omgaan.

Wanneer moet er een verwerkersovereenkomst worden opgesteld?

Wanneer een verwerkingsverantwoordelijke door een verwerker (derde partij) persoonsgegevens laat verwerken (uitbesteedt), dan is hij verplicht om een verwerkersovereenkomst op te stellen. Let hierbij wel op: Ook slechts het inzien van persoonsgegevens door een derde partij / verwerker hoort hierbij!

Een verwerkersovereenkomst mag trouwens ook een onderdeel zijn van een andere overeenkomst. Bijvoorbeeld een apart hoofdstuk binnen een opdrachtovereenkomst.

Wat moet er zoal in worden opgenomen?

De volgende onderwerpen zullen o.a. in een verwerkersovereenkomst beschreven moeten worden:

  • Algemene zaken, volgens art. 28 AVG moet in ieder geval het volgende benoemd worden:
    • Duur en onderwerp van de verwerking.
    • Aard en doel van de verwerking.
    • Type persoonsgegevens.
    • Rechten en plichten van de verwerkingsverantwoordelijke.
    • Categorieën van verwerking van alle betrokkenen.
  • De verwerking moet conform de instructies van de verwerkingsverantwoordelijke worden uitgevoerd. Met andere woorden, de verwerker mag (vanzelfsprekend) persoonsgegevens niet voor zichzelf gebruiken, maar alleen voor de uitvoering van de opdracht van de verwerkingsverantwoordelijke.
  • Geheimhouding. Er dient aan de verwerker een geheimhoudingsplicht te worden opgelegd, eventueel nog aangevuld met een boetebeding.
  • Maatregelen voor de beveiliging. De verwerkingsverantwoordelijke moet ervoor zorgen dat de verwerker goede technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen (in ruime zin).
  • Inschakelen van derden. In de verwerkersovereenkomst moet tevens worden vastgelegd of en eventueel onder welke voorwaarden de verwerker subverwerkers erbij mag halen.
  • Datalocaties. De verwerkersverantwoordelijke moet op de hoogte zijn van alle locaties (landen) waar zijn data worden opgeslagen.
  • Audits. Er moet door de verwerkingsverantwoordelijke gecontroleerd worden (via audits / onderzoeken) of de verwerker zich wel aan hun afspraken houdt. In de verwerkersovereenkomst kunnen over deze audits alvast allerlei afspraken worden gemaakt.
  • Aansprakelijkheid. De verwerkingsverantwoordelijke is aansprakelijk als iemand schade lijdt doordat de AVG niet goed wordt nageleefd. Ook als deze schade veroorzaakt is door nalatigheid van de verwerker. De verwerker is daarnaast overigens ook zelfstandig aansprakelijk. In de verwerkersovereenkomst is het handig om hier op voorhand al afspraken over vast te leggen, mocht dit gebeuren.

Voor een lijst met meer onderwerpen die in een verwerkersovereenkomst kunnen worden opgenomen, kun je kijken op de website van de Autoriteit Persoonsgegevens (zie de link onderaan deze blog).

Freelancers / zzp’ers

Als een organisatie gebruik maakt van externe medewerkers (zoals freelancers , zzp’ers) die persoonsgegevens te zien krijgen dan moet hiervoor eveneens een verwerkersovereenkomst opgesteld worden.

Als door een organisatie bijvoorbeeld een ICT-organisatie (detachering) wordt ingehuurd dan moet er met die ICT-organisatie een verwerkersovereenkomst worden opgesteld. Vaak zullen de individuele medewerkers van de ICT-organisatie dan een geheimhoudingsverklaring moeten ondertekenen.

Echter, bij het inhuren van individuele freelancers of zzp’ers moet er even goed worden opgelet. Er kunnen zich dan namelijk twee situaties voordoen, namelijk: 1) de freelancer/zzp’er werkt alle dagen in het bedrijf van de inhuurder en gedraagt zich in feite als een gewone medewerker. Er is geen verwerkersovereenkomst nodig. Of: de ingehuurde freelancer/zzp’er bepaalt  zelf de invulling van de werkzaamheden, er is geen sprake van een gezagsverhouding tussen hem en de inhuurder. Een verwerkersovereenkomst is hier dan nodig. 

Bronvermelding (en meer informatie over dit onderwerp is te vinden op de website van de Autoriteit Persoonsgegevens).