Verwerkersovereenkomst
Wie verwerking van persoonsgegevens uitbesteedt, heeft een verwerkersovereenkomst nodig. Dat vinden wij niet alleen, het is ook verplicht bij wet. Zorg dus dat je overeenkomst goed is opgesteld.
Verwerkersovereenkomst
De verwerkersovereenkomst is een belangrijk onderdeel van de AVG. Het beschermt de persoonsgegevens waar je als bedrijf mee werkt. Je stelt een verwerkersovereenkomst op als een ander bedrijf namens jouw bedrijf persoonsgegevens verwerkt (of andersom). In deze overeenkomst tussen de verwerker en de verwerkingsverantwoordelijke staat hoe er met gegevens wordt omgegaan.
De verwerker kan een bedrijf zijn dat de salarisadministratie doet, een IT-bedrijf dat gegevens invoert of een buitenlands bedrijf waar je gegevens mee uitwisselt. Jij bent de verwerkingsverantwoordelijke, omdat gegevens van of namens jouw bedrijf worden verwerkt. Daarom ben jij verantwoordelijk voor een duidelijke verwerkersovereenkomst.
Heb je geen verwerkersovereenkomst maar verwerkt een ander bedrijf namens jouw bedrijf persoonsgegevens? Dan voldoe je niet aan de AVG. Gelukkig is het opstellen van de overeenkomst zo geregeld met SmartAgreements.
Gebruik nu onze online tool om een verwerkersovereenkomst te maken.
Elke juridische template wordt gecreëerd, onderhouden en beheerd door advocaten van de beste advocatenkantoren. Zo krijg jij altijd content van de hoogste kwaliteit.
SmartAgreements prijs
€ 69,-
€ 49,-
(excl. BTW)
Opgesteld door
Victor Bouman is advocaat bij Wieringa Advocaten en geeft advies aan techbedrijven, zorginstellingen en startups. Zijn praktijk concentreert zich op ict- en privacyrecht, contracten, auteursrecht en merkenrecht.
Victor Bouman
Hoe werkt het
Kies een document
Personaliseer je document
Ontvang per e-mail
Onderteken
FAQ Verwerkersovereenkomst
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een contract tussen twee organisaties. Hierin staan afspraken over op welke manier en met welk doeleinde de ene partij persoonsgegevens verwerkt voor een andere partij.
Wanneer heb ik een verwerkersovereenkomst nodig?
Je hebt een verwerkersovereenkomst nodig als:
- Je een andere organisatie opdracht geeft om namens jou of jouw bedrijf persoonsgegevens te verwerken.
- Je de opdracht krijgt om persoonsgegevens te verwerken.
Is er dus een samenwerking waarbij je gegevens verwerkt? Dan heb je een verwerkersovereenkomst nodig. Zie ook het artikel: 'Gegevens verwerken? Vergeet de verwerkersovereenkomst niet.'
Wie zijn betrokken bij een verwerkersovereenkomst?
Bij een verwerkersovereenkomst zijn in ieder geval twee organisaties betrokken: de verwerker en de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke heeft persoonsgegevens die verwerkt moeten worden en bepaalt hoe dat gebeurt. De verwerker voert dit uit in opdracht van de verwerkingsverantwoordelijke. Soms neemt een verwerker ook weer iemand in dienst om gegevens te verwerken. Dat is dan een subverwerker. Klinkt dat verwarrend? Lees dan ons artikel: ‘Ben ik verwerker, subverwerker of verwerkingsverantwoordelijke?’
Wie is verantwoordelijk voor verwerkte gegevens?
De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk, ook als de verwerker een fout maakt met de verzamelde persoonsgegevens. Daarom is het maken van goede afspraken zo belangrijk.
Wat zijn de risico’s als ik geen verwerkersovereenkomst gebruik?
Als je verwerker of verwerkingsverantwoordelijke bent, is een verwerkersovereenkomst aangaan verplicht. Doe je dat niet, dan overtreed je de AVG. De Autoriteit Persoonsgegevens (AP) controleert of bedrijven wel AVG-proof werken. Bij overtreding ontvang je meestal eerst een waarschuwing. Krijg je toch een boete, dan kan die oplopen tot €10 miljoen, of zelfs tot 2% van de wereldwijde jaaromzet van je bedrijf als die hoger is dan €500 miljoen. Lijdt een betrokkene schade doordat je geen verwerkersovereenkomst hebt gesloten, dan kan je daarnaast verplicht worden die schade te vergoeden.
Wanneer heb je géén verwerkersovereenkomst nodig?
Soms heb je geen verwerkersovereenkomst nodig, zoals wanneer je wel met persoonsgegevens werkt als onderdeel van een opdracht, maar niet per se om ze te verwerken. Een accountant krijgt bijvoorbeeld vaak te maken met persoonsgegevens als hij/zij een jaarrekening of een balans opstelt.
Is mijn organisatie verwerker?
Soms is het lastig om te bepalen of je verwerker bent. Als hulpmiddel kun je de volgende vraag stellen: is de verwerking van persoonsgegevens mijn primaire opdracht, of is het een gevolg van de eigenlijke opdracht? In het eerste geval is je bedrijf sowieso verwerker. In het tweede geval is de kans groot dat jouw organisatie géén verwerker is. Meer hierover lees je in ons artikel: ‘Wanneer heb je een verwerkersovereenkomst nodig?’
Wat zijn persoonsgegevens?
Je hebt te maken met persoonsgegevens als je door bepaalde gegevens kunt nagaan of het over een bepaalde persoon gaat. Voorbeelden hiervan zijn een e-mailadres, naam en adres. Het onderwerp 'persoonsgegevens' omvat veel, lees daarom ons artikel: ‘Wanneer zijn gegevens persoonsgegevens?’
Wanneer verwerk ik persoonsgegevens?
Alles wat je doet met persoonsgegevens geldt als het verwerken hiervan. Bijvoorbeeld wanneer je gegevens:
- verzamelt via een webformulier of belactie
- opslaat in een database
- opvraagt uit een relatiebestand
- verstuurt aan een klant
- aanpast in een document
- corrigeert of aanvult
- wist
In al deze gevallen verwerk je persoonsgegevens. Het maakt niet uit of dat op eigen initiatief is, op verzoek van de persoon over wie de gegevens gaan of - als je verwerker bent - in opdracht van de verwerkingsverantwoordelijke.
Is er een verschil tussen persoonsgegevens verwerken en opslaan?
Verwerken is het algemene begrip voor alles wat je kan doen met persoonsgegevens. Opslaan is daardoor ook een vorm van verwerken, zelfs als je op dat moment niets actief doet met de gegevens.
Welke beveiligingsmaatregelen moet ik nemen om persoonsgegevens te beschermen?
Er bestaan geen vaste regels voor beveiligingsmaatregelen. De AVG geeft vooral criteria die je zelf mag invullen. Die komen erop neer dat je de maatregelen moet afstemmen op de risico’s van de verwerking. Zo tref je bijvoorbeeld strengere maatregelen voor patiëntgegevens dan voor een lijst met verjaardagen. Maatregelen kunnen van alles zijn: van technische tot organisatorische oplossingen. Wil je hier meer over weten? Lees dan ons artikel: ‘Manieren om persoonsgegevens te beschermen’.
Mogen organisaties in andere EU-landen persoonsgegevens voor mij verwerken?
De AVG geldt voor de hele EU (en staat ook wel bekend onder de Engelse naam: General Data Protection Regulation/GDPR). Daarom mogen ook organisaties in andere EU-landen persoonsgegevens voor je verwerken. Een verwerkersovereenkomst is dan genoeg. Dat geldt ook voor de landen van de Europese Economische Ruimte: de EU aangevuld met Liechtenstein, Noorwegen en IJsland.
Mogen organisaties buiten de EU persoonsgegevens voor mij verwerken?
Op de site van de Europese Commissie staat een overzicht van landen die voldoende bescherming bieden. Voor deze landen geldt een zogenaamd ‘adequaatheidsbesluit’. Staat het land van jouw verwerker daar niet tussen? Dan moet je extra maatregelen nemen, zoals een aanvullend contract met daarin enkele standaardbepalingen (standard contractual clauses). Deze vind je op de website van de Europese Commissie.
Meer
Word ook partner van SmartAgreements!
Bij SmartAgreements zijn we altijd op zoek naar nieuwe manieren om ondernemers te helpen. Zie jij kansen voor een samenwerking? We zijn benieuwd wat je voor ogen hebt. Neem contact met ons op!
Snel en makkelijk!
"Het creëren van een juridisch document is makkelijk en snel gedaan! Binnen 2 klikken kon ik al de juiste documenten voor mijn bedrijf vinden!"
- Bjorn Waaijer, SportIT
Documentengenerator. Wie verwerking van persoonsgegevens uitbesteedt, heeft een verwerkersovereenkomst nodig. Dat vinden wij niet alleen, het is ook verplicht bij wet. Creëer online je eigen verwerkersovereenkomst op SmartAgreements.
Lees meer
Verberg