Het zal u niet zijn ontgaan dat afgelopen 25 mei de Algemene Verordening Gegevensbescherming van toepassing is geworden. Dit brengt voor sommige bedrijven enkele veranderingen met zich mee. Ook moeten er bepaalde zaken geregeld worden en we merken dat dit niet voor iedereen even duidelijk is. Zo moet er bijvoorbeeld in veel gevallen een verwerkingsregister worden opgesteld, of in bepaalde gevallen een Data Protection Impact Assessment. Ook moet er met sommige partijen een zogenoemde verwerkersovereenkomst worden opgesteld. Deze laatste willen we in deze tekst verder toelichten.

De laatste weken bent u waarschijnlijk platgegooid met e-mails over de AVG (Algemene Verordening Gegevensbescherming), van allerlei bedrijven. Sommige kent u misschien niet eens, maar kennelijk hebben ze nog data van u. Deze mails gaan vaak over de volgende zaken:

  • Een update van de privacyverklaring van het bedrijf
  • Een vraag of u de nieuwsbrief/mailing van het bedrijf wilt blijven ontvangen
  • Een verwerkersovereenkomst om te ondertekenen

De verwerkersovereenkomst wordt door veel partijen aangeboden aan klanten, ook terwijl dat soms helemaal niet nodig is. Dit zorgt voor verwarring, want partij X stuurt een verwerkersovereenkomst, dan zal er met partij Y ook wel een overeenkomst moeten komen, toch?

De autoriteit persoonsgegevens geeft hier gelukkig informatie over die we hieronder zullen behandelen. Het is goed om de volgende termen te begrijpen:

Verwerkersovereenkomst

Dit is een overeenkomst die een verwerkingsverantwoordelijke dient af te sluiten met een verwerker, waarin onder andere wordt vastgelegd dat de verwerker de gegevens niet mag delen met derden en adequaat moet beveiligen. De Engelse vertaling voor verwerkersovereenkomst is ‘Data Processing Agreement (DPA)’.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is de partij die de doelen en de middelen bepaalt waarvoor persoonsgegevens worden verwerkt. Wanneer u bijvoorbeeld een intakeformulier heeft voor een nieuwe medewerker, bepaalt u welke velden daarop gevraagd worden en wat u met deze informatie wilt doen. De Engelse vertaling voor verwerkingsverantwoordelijke is ‘Controller’.

Verwerker

De verwerker is de partij die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De Engelse vertaling voor verwerker is ‘Processor’. De verwerker bepaalt niet het doel en de middelen van de verwerker, en handelt namens de verwerkingsverantwoordelijke. In het voorbeeld van de nieuwe medewerker, kan het zijn dat u deze informatie deelt met een salarisadministratiekantoor. Deze partij verwerkt de gegevens dan namens u.

Betrokkene

De betrokkene is de natuurlijke persoon waarover de gegevensverwerking gaat. In het eerder genoemde voorbeeld is de betrokkene de nieuwe medewerker. De Engelse vertaling voor betrokkene is ‘Data subject’.

Bol ICT kan u helpen te voldoen aan de AVG, neem vrijblijvend contact op of bel 050 – 541 1966

Wie is verantwoordelijk voor de verwerkersovereenkomst?

De verwerkingsverantwoordelijke is verantwoordelijk voor het opstellen van de verwerkersovereenkomst. De verwerkingsverantwoordelijke moet namelijk zorg dragen dat persoonsgegevens die gedeeld worden veilig worden opgeslagen en niet in verkeerde handen vallen. Toch zie je dat de verwerker vaak de verwerkersovereenkomst aanbiedt. Dit kan gezien worden als service, maar de verwerker bepaalt hiermee aan welke beveiligingseisen de verwerker zich conformeert. Dit kan dus ook gevaren met zich meebrengen. Weet dat het als verwerkingsverantwoordelijke altijd mogelijk is om een eigen verwerkersovereenkomst aan te bieden?

Wanneer moet er een verwerkersoveenkomst komen?

Wanneer wel een verwerkersovereenkomst? En wanneer is een verwerkersovereenkomst niet nodig? De meeste klanten die we spreken vinden dit moeilijk om te bepalen. Dit komt ook doordat sommige bedrijven al hun klanten een verwerkersovereenkomst sturen, terwijl dat soms niet eens nodig is.

Maar wanneer is dit nou verplicht? De website van de autoriteit persoonsgegevens zegt het volgende:

Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken moet u met deze organisaties een verwerkersovereenkomst afsluiten.

Het gaat daarbij om gevallen waarbij u die andere partij de opdracht geeft persoonsgegevens waarvoor u zelf verantwoordelijk bent, te verwerken. Met andere woorden: u bepaalt wat er moet gebeuren met de gegevens en hoe.

We halen nog eens hetzelfde voorbeeld aan. U neemt een nieuwe medewerker in dienst en bepaalt welke gegevens u wilt vastleggen van deze medewerker. U legt deze gegevens vast in een softwarepakket dat in de cloud draait. De clouddienst verwerkt deze gegevens voor u, maar bepaalt niet welke gegevens dit zijn. In dit geval ben u dus verwerkingsverantwoordelijke en de clouddienst is verwerker. In dit geval bent u verplicht te zorgen dat er verwerkersovereenkomst komt.

Wanneer geen verwerkersovereenkomst?

De autoriteit persoonsgegevens zegt het volgende:

Als u als verwerkingsverantwoordelijke aan een andere partij persoonsgegevens verstrekt zodat die andere partij een product of een dienst kan leveren aan een betrokkene, dan is die andere partij zelf verwerkingsverantwoordelijke. De leverancier van het product of de dienst stelt zelf namelijk het doel en de middelen vast voor de verwerking van de persoonsgegevens die hij ontvangt van de opdrachtgever voor het leveren van een product of een dienst aan betrokkene. In dat geval bent u beide verwerkingsverantwoordelijke.

Wanneer een derde partij niet NAMENS, maar op verzoek van een verwerkingsverantwoordelijke optreedt, dan is de derde partij zelf ook verwerkingsverantwoordelijk. De derde partij bepaalt namelijk zelf welke persoonsgegevens worden verwerkt. Er hoeft in dit geval geen verwerkersovereenkomst te worden gemaakt. LET OP: zorg er wel voor dat de derde partij zorgvuldig met uw gegevens omgaat en laat betrokkenen zo mogelijk weten dat u de gegevens deelt.

Wat moet er in de verwerkersovereenkomst staan?

Welke gegevens? Een algemene omschrijving van de gegevensverwerkingen die plaatsvinden en de groepen betrokkenen waar dit over gaat.
Geheimhoudingsplicht De medewerkers van de verwerker moeten onder een geheimhoudingsplicht werken.
Beveiliging De verwerker moet passende maatregelen treffen om uw persoonsgegevens te beveiligen.
Subverwerkers Zonder uw nadrukkelijke toestemming mag de verwerker zelf geen derde partijen inschakelen om uw gegevens te laten verwerken. In de verwerkersovereenkomst kan wel meteen aangegeven worden dat er met subverwerkers wordt gewerkt.
Rechten betrokkenen Volgens de AVG hebben betrokkenen bepaalde rechten, zoals bijvoorbeeld het recht om vergeten te worden. In de overeenkomst moet staan dat de verwerker u bij dit soort verzoeken van betrokkenen zal assisteren. Dit hoeft echter niet kosteloos.
Afloop overeenkomst In de overeenkomst moet staan dat de verwerker uw data zal wissen wanneer u niet langer samenwerkt met de verwerker. Hier moet ook een termijn genoemd worden.
Audits U kunt een audit (laten) uitvoeren bij de verwerker om bijvoorbeeld te controleren of de beveiliging goed op orde is. In de overeenkomst moet staan dat de verwerker hier aan mee zal werken.

Moet ik een verwerkersovereenkomst sluiten met Bol ICT?

Wanneer u gebruik maakt van de diensten van Bol ICT, waar wij data voor u opslaan (zoals bijvoorbeeld een online back-up) dan moet u een verwerkersovereenkomst met ons tekenen. Deze kunnen wij voor u verzorgen. Wanneer wij geen gegevens voor u opslaan, maar slechts ondersteuning bieden bij storingen en systeembeheer voor u uitvoeren, dan is een verwerkersovereenkomst niet nodig.

Autoriteit persoonsgegevens

Voor meer informatie refereren we graag naar de website van de autoriteit persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht.

Vragen?

Heeft u hulp nodig om de AVG in uw bedrijf goed te regelen? Bol ICT kan u hierbij ondersteunen. Voor meer informatie kunt u contact met ons opnemen via 050 – 541 1966.

Contact opnemen

Waarom Bol ICT?

  • Heldere taal en dienstverlening
  • Inventieve oplossingen
  • Betrokken bij uw organisatie
  • We voelen ons verantwoordelijk
Direct contact