AVG: de verwerkersovereenkomst

Legal8

AVG: de verwerkersovereenkomst

Als een organisatie gebruik maakt van de diensten van een verwerker (onder de Wbp “bewerker” genoemd), dan dienen deze beide organisaties een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (artikel 28 lid 3 AVG). Deze overeenkomst wordt ook verwerkersovereenkomst wel een genoemd. In de Wbp wordt deze overeenkomst overigens nog met bewerkersovereenkomst aangeduid. Volgens artikel 4.8 AVG is een verwerker:

een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Denk hierbij aan een bedrijf dat ten behoeve van de verantwoordelijke organisatie persoonsgegevens verwerkt. Dit kan bijvoorbeeld een salarisadministratiekantoor zijn. Maar ook een ZZP’er die niet onder het rechtstreekse gezag van de verantwoordelijke organisatie staat, zal als verwerker gezien (kunnen) worden. Het is van belang dat de derde niet ondergeschikt is dan wel in enige hiërarchische relatie tot de verantwoordelijke staat. Als dat namelijk wel zo is, dan is er sprake van “intern beheer” en niet van een “verwerker”.

Verwerkersovereenkomst: een schriftelijke overeenkomst

De verwerkersovereenkomst is dus de overeenkomst tussen de verantwoordelijke organisatie en de verwerker, in welke overeenkomst wordt vastgelegd “hoe” met persoonsgegevens wordt omgegaan. Het dient dus expliciet om een schriftelijke overeenkomst te gaan. In deze verwerkersovereenkomst dienen in ieder geval de volgende zaken vastgelegd te worden.

Algemene beschrijving
Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.

Instructies verwerking
De verwerking vindt in principe uitsluitend plaats op basis van schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht
Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging
De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Hiernaast dienen nog een aantal andere bepalingen schriftelijk vastgelegd te worden. Hierover kunnen wij u nader informeren en adviseren.

Let op: hoge boetes!

Let op: indien er geen verwerkersovereenkomst gesloten is, dan loopt u het risico (hoge) boetes opgelegd te krijgen. Voorkom dus boetes met het sluiten van een (correcte) verwerkersovereenkomst.

Artikel 28 lid 10 AVG: aansprakelijkheid

Voor verwerkers is artikel 28 lid 10 AVG nog van groot belang. Indien een verwerker namelijk in strijd handelt met de AVG, dan wordt de verwerker als verwerkingsverantwoordelijke beschouwd. Het is verstandig om met deze mogelijke aansprakelijkheid rekening te houden en in de verwerkersovereenkomst heldere afspraken te maken. Onder de Wbp is het mogelijk dat de verwerker aansprakelijkheid contractueel uitsluit. Onder de AVG is dit recht van uitsluiten beperkter, aangezien een verwerker op grond van dit artikel rechtstreeks kan worden aangesproken (door de Autoriteit Persoonsgegevens).

Legal8 verwerkersovereenkomst

Uiteraard kunnen wij u behulpzaam zijn bij het opstellen of controleren van een verwerkersovereenkomst. Neem eens vrijblijvend contact met een van onze juristen op. Wij zijn u graag van dienst.

Juridisch advies / vragen

Heeft u nog vragen over het bovenstaande? Neem dan eens contact met een van onze juristen op. Wij zijn u graag van dienst.

Legal8 Advocaten & Bedrijfsjuristen

Info@legal8.nl

www.legal8.nl

12-01-2018