Autoriteit Persoonsgegevens controleert bedrijven op verwerkersovereenkomsten


Autoriteit Persoonsgegevens controleert bedrijven op verwerkersovereenkomsten

Zoals u inmiddels bekend is, is met ingang van 25 mei 2018 de AVG (de Europese Privacywet) van kracht gegaan. Hier hebben wij meerdere blogs aan besteed. In deze blog gaan wij in op een specifiek onderdeel van de AVG waar veel ondernemingen in de praktijk mee worstelen: de verwerkersovereenkomst.

Wat is een verwerkersovereenkomst?

Als een organisatie gebruik maakt van de diensten van een verwerker (onder de Wbp “bewerker” genoemd), dan dienen deze beide organisaties een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (artikel 28 lid 3 AVG). Deze overeenkomst wordt ook een verwerkersovereenkomst genoemd. Volgens artikel 4.8 AVG is een verwerker:

een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Denk hierbij aan een bedrijf dat ten behoeve van de verantwoordelijke organisatie persoonsgegevens verwerkt. Dit kan bijvoorbeeld een salarisadministratiekantoor zijn. Maar ook een ZZP’er die niet onder het rechtstreekse gezag van de verantwoordelijke organisatie staat, zal als verwerker gezien (kunnen) worden. Het is van belang dat de derde niet ondergeschikt is dan wel in enige hiërarchische relatie tot de verantwoordelijke staat. Als dat namelijk wel zo is, dan is er sprake van “intern beheer” en niet van een “verwerker”.

In de verwerkersovereenkomst moet staan hoe de bescherming en verwerking van persoonsgegevens is geregeld. In de verwerkersovereenkomst staat in ieder geval: welke gegevens worden verwerkt en voor hoe lang, wat de aard en het doel van de verwerking is, op welke manier de beveiliging van de gegevens is gewaarborgd.

In de praktijk blijkt dat veel organisaties moeite hebben met de kwalificatie verwerker. Er is met andere woorden veel onduidelijkheid over en bedrijven weten vaak niet of zij een verwerkersovereenkomst moeten sluiten. En dit terwijl de Autoriteit Persoonsgegevens bedrijven actief controleert op verwerkersovereenkomsten.

Autoriteit Persoonsgegevens controleert bedrijven op verwerkersovereenkomsten

Tot nu toe zijn door de autoriteit verwerkersovereenkomsten opgevraagd bij een (in ieder geval) dertigtal bedrijven in de media-, handel- en energiesector. Ook uw organisatie kan door de Autoriteit bevraagd worden en dus is het zaak hiermee aan de slag te gaan. Heeft u hier juridisch advies bij nodig? Neem dan spoedig contact met ons op. Wij kunnen u behulpzaam zijn en voorkomen dat uw onderneming in een vervelende privacydiscussie terechtkomt. Daarmee voorkomt u eveneens boetes.

Juridisch advies / vragen

Heeft u nog vragen over het bovenstaande? Neem dan eens contact met een van onze juristen op. Wij zijn u graag van dienst.

Legal8 Advocaten & Bedrijfsjuristen

Info@legal8.nl

www.legal8.nl

28-01-2019