3 minuten lezen
Met persoonsgegevens ga je zorgvuldig om. Als bedrijf wil je immers aan de AVG voldoen. Daarom is een verwerkersovereenkomst verplicht als je de verwerking van persoonsgegevens uitbesteedt. En dat uitbesteden gebeurt misschien al sneller dan je denkt. Wie er dan verantwoordelijk is? Dat regel je in de verwerkersovereenkomst. Benieuwd of jij een verwerkersovereenkomst nodig hebt? Je leest het in deze blog.
Privacy is belangrijk voor ons allemaal. Tegelijk staat het vaak onder druk, omdat veel van onze gegevens en activiteiten worden opgeslagen in allerlei systemen. Om duidelijke regels te stellen voor de omgang met onze gegevens, is enkele jaren geleden de AVG (Algemene Verordening Gegevensbescherming) ingevoerd. De verwerkersovereenkomst (ook wel: verwerkingscontract) is hiervan een belangrijk onderdeel, waar je als bedrijf niet omheen kan.
Verwerker en verwerkingsverantwoordelijke
Zoals bij elke overeenkomst zijn er twee partijen. In dit geval de verwerker en de verwerkingsverantwoordelijke. De verwerker (je had vast al een vermoeden) verwerkt de persoonsgegevens. Dit kan een bedrijf zijn dat de salarisadministratie doet, een extern administratief medewerker of een IT-bedrijf dat gegevens invoert. Ook als er alleen naar de gegevens gekeken wordt, geldt dat al als verwerken. Wanneer je de verwerking uitbesteedt, ben jij verantwoordelijk: de verwerkingsverantwoordelijke.
Wanneer verwerk je persoonsgegevens?
Heb je mensen in dienst en huur je een bedrijf in voor je salarisadministratie? Of laat je iemand je klantenbestand opschonen? In die gevallen is al een verwerkersovereenkomst nodig. Iemand anders is namelijk bezig met de gegevens van jouw personeel of klanten. Het kan zelfs zo zijn dat het bedrijf waar je mee werkt de verwerking uitbesteedt. Dat is dan een sub-verwerker. Jij bent dan nog steeds verantwoordelijk voor de juiste verwerking van die gegevens. Als je gegevens laat verwerken buiten je eigen bedrijf, is een overeenkomst altijd verplicht. Ook als het een buitenlands bedrijf is, een dochteronderneming of je 100% betrouwbare neefje. In deze blog lees je meer over in welke situaties je een verwerkingscontract nodig hebt.
Wat staat er in een standaard verwerkersovereenkomst?
Een verwerkersovereenkomst kan ook onderdeel zijn van je algemene voorwaarden. Zorg dan wel dat je er nog steeds evenveel aandacht aan besteedt als je met een losse verklaring zou doen. De volgende punten moeten er in ieder geval in staan:
- Algemene zaken, zoals het soort gegevens, de looptijd en het doel van de verwerking
- Geheimhouding en beveiliging van de gegevens
- Wie er aansprakelijk is (zie ook onze blog)
- Genomen beveiligingsmaatregelen tegen verlies, onrechtmatige verwerking of een datalek
- Hoe verwerking door derden (een sub-verwerker) is geregeld
- Wie betaalt voor de kosten van beveiligingsmaatregelen: de verwerker of verwerkingsverantwoordelijke
Bovenstaande geldt vooral als je in zee gaat met een buitenlands bedrijf. Zonder overeenkomst ben je dan zwaar in overtreding van de AVG, omdat in het buitenland andere regels kunnen gelden.
Zorg zelf dat het geregeld is
Misschien verwerkt iemand al jaren gegevens voor je, of is je verwerker nooit over een overeenkomst begonnen. Ga er dan toch achteraan, want als er iets fout gaat, zit jij met de gebakken peren. Ga er vooral ook niet vanuit dat een gratis modelovereenkomst ‘wel klopt’. Er kunnen dingen in staan die niet voor jou gelden of die in je nadeel werken. Kijk deze dus heel goed na, als je besluit daarmee te werken.
Wacht de boete niet af!
Steeds vaker controleert de Autoriteit Persoonsgegevens of bedrijven wel AVG-proof werken. Wacht dat vooral niet af voor je een verwerkersovereenkomst afsluit. Je mag namelijk een fikse boete verwachten als je niet aan de eisen voldoet: tot wel €10 miljoen of 4% van je jaarlijkse omzet. Dat zijn boetes die vooral aangeven dat dit een serieuze zaak is, die écht je aandacht verdient.
Zeker zijn dat je verwerkersovereenkomst jou beschermt? Stel dan een verwerkersovereenkomst op via SmartAgreements.