De verwerkersovereenkomst: zet niet zomaar je handtekening!

AVG en de verwerkersovereenkomst

Vanaf 25 mei 2018 start de Nederlandse overheid met het handhaven van de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). De AVG is een Europese wet, die de privacywetgeving voor heel Europa gelijk trekt. In de AVG staat beschreven wat we in Europa verstaan onder persoonsgegevens, hoe je met deze gegevens om moet gaan en in welke gevallen je ze mag gebruiken. Op die manier zorgen we ervoor dat de verwerking van persoonsgegevens in (bijvoorbeeld) Duitsland niet anders meer mag en kan zijn dan in Nederland. Een van de zaken die ook in de AVG naar voren komt, is de verwerkersovereenkomst. Deze overeenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens op het moment dat een bedrijf voor de verwerking ervan een ander bedrijf inschakelt. Je hebt in zo’n geval te maken met twee partijen: de verwerker en de verwerkingsverantwoordelijke.

Wanneer een verwerkersovereenkomst?

Er zijn twee gevallen waarin bedrijven verplicht zijn om een verwerkersovereenkomst af te sluiten:

• Je hebt een bedrijf of werkt voor een bedrijf dat persoonsgegevens van haar opdrachtgevers ontvangt met als doel om ze te verwerken. Jij bent in dat geval de zogeheten ‘verwerker’. In de inleiding noemden we al het voorbeeld van een uitzend- of payrollbedrijf, maar ook bedrijven die clouddiensten aanbieden, zoals aanbieders van CRM-pakketten of hosted mailservers zijn zogeheten verwerkers. Let wel: dit geldt alleen als de verwerkingsverantwoordelijke het doel bepaalt van de verwerking.
• In de andere situatie ben je als bedrijf zelf de verwerkingsverantwoordelijke. Jouw bedrijf of het bedrijf waarvoor je werkt verwerkt persoonsgegevens en besteedt dat proces uit aan een leverancier. Om zijn werk te kunnen doen, ontvangt deze leverancier de persoonsgegevens die jij hebt verwerkt. In dit geval is de leverancier de verwerker en ben jij de verwerkingsverantwoordelijke.

In de verwerkersovereenkomst leg je vast voor welk doel de persoonsgegevens mogen gebruikt, waar ze worden opgeslagen en welke maatregelen beide partijen moeten treffen om die opgeslagen gegevens te beveiligen en te beschermen. Daarnaast leg je vast wie de gegevens allemaal mogen verwerken – oftewel, wie welke verwerkingsrechten heeft – en welke mogelijkheden er zijn om een audit uit te voeren.

De risico’s

Je leest het; er moet nogal wat vastgelegd worden in een verwerkersovereenkomst. Bij Privacy in Business merken we dat er talloze varianten van deze overeenkomsten in omloop zijn. Niet zo gek als je bedenkt dat iedere verzender zijn eigen belangen zo goed mogelijk behartigd en de risico’s voor zichzelf zoveel mogelijk beperkt. Op het moment dat je een verwerkersovereenkomst ontvangt van je opdrachtgever of leverancier, is het dan ook zaak om de overeenkomst zeer kritisch door te nemen. Welke aansprakelijkheden heeft de verzender op jouw bordje gelegd? En welke risico’s brengen die aansprakelijkheden met zich mee? Een paar regeltjes ‘kleine letters’ kunnen - als het erop aankomt - grote financiële gevolgen hebben.

Laat je verwerkersovereenkomst screenen

Bedrijven die een verwerkersovereenkomst van hun opdrachtgever of leverancier ontvangen kunnen onbedoeld risico lopen bij het ondertekenen ervan. Zet daarom nooit zomaar je handtekening, maar beperk de risico’s en laat de ontvangen overeenkomst screenen door een gecertificeerd bedrijf. Privacy in Business biedt een screening verwerkersovereenkomst aan voor een vast bedrag van € 75,-. Een kleine investering die jou behoedt voor grote financiële gevolgen!