De verwerkersovereenkomst

De verwerkersovereenkomst

Het opstellen van een verwerkersovereenkomst (voorheen ook wel bewerkersovereenkomst genoemd) dient ertoe te waarborgen dat de verplichtingen die vanuit de wet (Wbp, artikel 14, AVG, artikel 28)  op de verwerkingsverantwoordelijke rusten, ook door de verwerker worden nageleefd. Daartoe dienen in de verwerkersovereenkomst afspraken en maatregelen te staan die de verwerkingsverantwoordelijke door de verwerker genomen wil hebben.

Belangrijk is dat volgens de wet de verwerkingsverantwoordelijke aanspreekbaar blijft voor de gegevens die onder zijn verantwoordelijkheid door de verwerker worden verwerkt.

Voorbeelden van verwerkers zijn:

• ICT-leveranciers, waaronder Cloud-dienst leveranciers, zoals PerfectView
• (salaris) administrateurs
• partijen waaraan werkzaamheden zijn uitbesteed en waarbij persoonsgegevens verwerkt worden

Hoewel het lijkt dat bijvoorbeeld een Cloud dienstverlener niet feitelijk de persoonsgegevens bewerkt, is deze toch volgens de wet de verwerker van persoonsgegevens als die op zijn / haar systemen staan. Accountants, auditors en adviseurs worden verwerkingsverantwoordelijke. Ze bewerken en verwerken geen gegevens, ze krijgen die alleen tijdelijk voor controle doeleinden.

Doelstelling

De verwerkingsverantwoordelijke dient passende en aantoonbare technische en organisatorische maatregelen uit te voeren. Met als doel ervoor te zorgen dat de verwerking van persoonsgegevens in overeenstemming is met geldende wet- en regelgeving en daarover transparant te zijn. De verwerkingsverantwoordelijke dient hierover verantwoording af te kunnen leggen (accountable), maar ook gecontroleerd kunnen worden (auditable). Het is hierbij van belang om met de verwerker goede afspraken te maken, zodat de verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. Dit betekent dat men documentatie dient te hebben waarin uitgebreid alle aspecten van de verwerking van persoonsgegevens door de verwerker en verwerkingsverantwoordelijke worden beschreven.

Relatie met andere overeenkomsten

Het uitbesteden van werkzaamheden, de eigenlijke dienstverlening, wordt meestal in een aparte  overeenkomst geregeld, hierna aangeduid met ‘hoofdovereenkomst’. Voor de te maken afspraken met de verwerker, wordt meestal een verwerkersovereenkomst afgesloten waarbij deze de (hoofd)overeenkomst aanvult. Als de verwerkingsverantwoordelijke een verwerker inschakelt, dient er op basis van de wet een schriftelijke overeenkomst te zijn de zogenaamde ‘verwerkersovereenkomst’. De verwerkersovereenkomst kan zelfstandig worden gebruikt maar is meestal een onderdeel van een overeenkomst met een breder bereik.

Onderdelen van de overeenkomst

De aspecten die in een (verwerkers)overeenkomst moeten worden opgenomen en duidelijk moeten zijn:

• Wie de verwerkingsverantwoordelijke is en wie de verwerker is.
• Welke (soort) persoonsgegevens worden verwerkt en eventueel de wettelijke basis.
• Welke verwerkingen de verwerker precies moet doen. Hierbij kan ook geregeld worden wat de verwerker (in ieder geval) niet mag doen.
• De verwerker mag de persoonsgegevens uitsluitend bewerken in opdracht van de verwerkingsverantwoordelijke. De verwerker mag dus niet zelfstandig besluiten om, in afwijking van die opdracht, de persoonsgegevens op een bepaalde manier te verwerken.
• Dat de verwerker zelfstandig aansprakelijk is voor schade die door de verwerker is veroorzaakt en hem kan worden toegerekend.
• Dat de verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. 
• Als de verwerker niet in Nederland gevestigd is, gelden aanvullende wettelijke voorwaarden en dient een verwerkersovereenkomst op maat opgesteld te worden.
• Naast onvoldoende beveiliging kan onvoldoende transparantie van de kant van de verwerker ook toeleiden dat de verwerkingsverantwoordelijke niet voldoet aan zijn wettelijke verplichtingen. Aspecten die in dit kader beschreven dienen te worden zijn transparantie over de beveiliging en opgetreden beveiligingsincidenten.
  Maak hierbij afspraken over:
  • de rapportages die de verwerker oplevert over de beveiliging
  • het recht op audits
  • beveiligingsincidenten en datalekken
• Dat de verwerkingsverantwoordelijke de mogelijkheden heeft om te controleren dat de verwerker zich (geheel) aan de overeenkomst houdt. 

Voorbeelden

Door verschillende partijen / leveranciers worden al be- of verwerkersovereenkomsten aangeboden die benut kunnen worden, voorbeelden zijn:

• Bewerkersvoorwaarden opgesteld voor PerfectView CRM Online
• Concept verwerkersovereenkomst 
• Model voor verwerkersovereenkomst van de Informatie Beveiligings Dienst (IBD)

Meer informatie kan ook gevonden worden bij :

• Autoriteit persoonsgegevens, Waar moet de verwerkersovereenkomst onder de AVG aan voldoen?
• Factsheet Verwerkersovereenkomsten van de Informatie Beveiligings Dienst (IBD)

Volgende week meer info over ‘Incidenten’

Vorige week Maatregelen en controle

Wil je reageren op dit artikel? Dat kan via de CRM Community. Deel jouw ervaringen op het gebied van CRM en alles wat er mee te maken heeft.