Layer 1
Verwerkersovereenkomst

Wie verwerking van persoonsgegevens uitbesteedt, heeft een verwerkersovereenkomst nodig. Dat vinden wij niet alleen, het is ook verplicht bij wet. Zorg dus dat die goed is opgesteld.

Verwerkersovereenkomst

De verwerkersovereenkomst is een belangrijk onderdeel van de AVG. Het beschermt de persoonsgegevens waar je als bedrijf mee werkt. Je stelt een verwerkersovereenkomst op als een ander bedrijf namens jouw bedrijf persoonsgegevens verwerkt (of andersom). In deze overeenkomst tussen de verwerker en de verwerkingsverantwoordelijke staat hoe er met gegevens wordt omgegaan. De verwerker kan een bedrijf zijn dat de salarisadministratie doet, een IT-bedrijf dat gegevens invoert of een buitenlands bedrijf waar je gegevens mee uitwisselt. Jij bent de verwerkingsverantwoordelijke, omdat gegevens van of namens jouw bedrijf worden verwerkt. Daarom ben jij verantwoordelijk voor een duidelijke verwerkersovereenkomst.

Wat staat er in een verwerkersovereenkomst?

Als je gegevens laat verwerken buiten je eigen bedrijf, is een overeenkomst altijd verplicht. Zorg dus dat je altijd een sterke verwerkersovereenkomst vastlegt. In een verwerkersovereenkomst staat onder andere:

  • Algemene zaken, zoals het soort gegevens, de looptijd en het doel van de verwerking
  • Geheimhouding en beveiliging van de gegevens
  • Wie er aansprakelijk is als er iets gebeurt
  • Genomen beveiligingsmaatregelen tegen verlies, onrechtmatige verwerking of een data lek
  • Hoe verwerking door derden (een sub-verwerker) is geregeld
  • Wie de kosten betaalt voor de beveiligingsmaatregelen: de verwerker of verwerkingsverantwoordelijke

Wanneer verwerk je persoonsgegevens?

Huur je een bedrijf in voor de salarisadministratie van je medewerkers? Laat je iemand je klantenbestand opschonen? Of laat je de gegevens alleen maar controleren op juistheid? In al die gevallen is al een verwerkersovereenkomst nodig. Iemand anders (een derde partij) is namelijk bezig met de gegevens van jouw personeel of klanten. Heb je geen verwerkersovereenkomst? Dan voldoe je niet aan de AVG. Reden genoeg om je verwerkersovereenkomst goed te regelen. Gebruik onze online tool!

Laat meer zien
SmartAgreements prijs
€ 69,-
Opgesteld door

Hoe werkt het

Kies een document
Personaliseer je document
Ontvang per e-mail
Onderteken
FAQ Verwerkersovereenkomst
Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een contract tussen twee organisaties. Hierin staan afspraken over op welke manier en met welk doeleinde de ene partij persoonsgegevens verwerkt voor een andere partij.

Wanneer heb ik een verwerkersovereenkomst nodig?

Je hebt een verwerkersovereenkomst nodig als:

  • Je een andere organisatie opdracht geeft om namens jou of jouw bedrijf persoonsgegevens te verwerken.
  • Je de opdracht krijgt om persoonsgegevens te verwerken.

Is er dus een samenwerking waarbij je gegevens verwerkt? Dan heb je een verwerkersovereenkomst nodig. Zie ook het artikel: 'Gegevens verwerken? Vergeet de verwerkersovereenkomst niet.'

Wie zijn betrokken bij een verwerkersovereenkomst?

Bij een verwerkersovereenkomst zijn in ieder geval twee organisaties betrokken: de verwerker en de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke heeft persoonsgegevens die verwerkt moeten worden en bepaalt hoe dat gebeurt. De verwerker voert dit uit in opdracht van de verwerkingsverantwoordelijke. Soms neemt een verwerker ook weer iemand in dienst om gegevens te verwerken. Dat is dan een subverwerker. Klinkt dat verwarrend? Lees dan ons artikel: ‘Ben ik verwerker, subverwerker of verwerkingsverantwoordelijke?’

Wie is verantwoordelijk voor verwerkte gegevens?

De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk, ook als de andere partij een fout maakt met de verzamelde persoonsgegevens. Daarom is het maken van goede afspraken zo belangrijk.

Wat zijn de risico’s als ik geen verwerkersovereenkomst gebruik?

Als je verwerker of verwerkingsverantwoordelijke bent, is een verwerkersovereenkomst aangaan verplicht. Doe je dat niet, dan overtreed je de AVG. De Autoriteit Persoonsgegevens (AP) controleert of bedrijven wel AVG-proof werken. Bij overtreding geeft de AP meestal eerst een waarschuwing. Krijg je toch een boete, dan kan die oplopen tot €10 miljoen, of zelfs tot 2% van de wereldwijde jaaromzet van je bedrijf als die hoger is dan €500 miljoen. Lijdt een betrokkene schade doordat je geen verwerkersovereenkomst hebt gesloten, dan kan je daarnaast verplicht worden die schade te vergoeden.

Wanneer heb je géén verwerkersovereenkomst nodig?

Soms heb je geen verwerkersovereenkomst nodig, zoals wanneer je wel met persoonsgegevens werkt als onderdeel van een opdracht, maar niet per se om ze te verwerken. Een accountant krijgt bijvoorbeeld vaak te maken met persoonsgegevens als hij/zij een jaarrekening of een balans opstelt. De opdracht is dan om de jaarrekening te maken. De accountant is in dat geval zelf verantwoordelijk voor de juiste verwerking van de persoonsgegevens. Bekijk ook ons artikel: ‘Wanneer heb je een verwerkersovereenkomst nodig?’

Is mijn organisatie verwerker?

Soms is het lastig om te bepalen of je verwerker bent. Als hulpmiddel kun je de volgende vraag stellen: is de verwerking van persoonsgegevens mijn primaire opdracht, of is het een gevolg van de eigenlijke opdracht? In het eerste geval is je bedrijf sowieso verwerker. In het tweede geval is de kans groot dat jouw organisatie géén verwerker is. Meer hierover lees je in ons artikel: ‘Wanneer heb je een verwerkersovereenkomst nodig?’

Wat zijn persoonsgegevens?

Je hebt te maken met persoonsgegevens als je door bepaalde gegevens kan nagaan of het over een bepaalde persoon gaat. Voorbeelden hiervan zijn een e-mailadres, naam en adres. Omdat het onderwerp 'persoonsgegevens' best veel omvat hebben wij hier een artikel over geschreven: ‘Wat zijn persoonsgegevens?’

Wanneer verwerk ik persoonsgegevens?

Alles wat je doet met persoonsgegevens geldt als het verwerken hiervan. Bijvoorbeeld wanneer je gegevens:

  • verzamelt via een webformulier of belactie;
  • opslaat in een database;
  • opvraagt uit een relatiebestand;
  • verstuurt aan een klant;
  • aanpast in een document;
  • corrigeert of aanvult;
  • wist.

In al deze gevallen verwerk je persoonsgegevens. Het maakt niet uit of dat op eigen initiatief is, op verzoek van de persoon over wie de gegevens gaan of - als je verwerker bent - in opdracht van de verwerkingsverantwoordelijke.

Is er een verschil tussen persoonsgegevens verwerken en opslaan?

Verwerken is het algemene begrip voor alles wat je kan doen met persoonsgegevens. Persoonsgegevens opslaan is daardoor ook een vorm van verwerken, zelfs als je op dat moment niets actief doet met de gegevens.

Welke beveiligingsmaatregelen moet ik nemen om persoonsgegevens te beschermen?

Er bestaan geen vaste regels voor beveiligingsmaatregelen. De AVG geeft vooral criteria die je zelf mag invullen. Die komen erop neer dat je de maatregelen moet afstemmen op de risico’s van de verwerking. Zo tref je bijvoorbeeld strengere maatregelen bij patiëntgegevens dan bij een lijst met verjaardagen. Maatregelen kunnen van alles zijn: van technische tot organisatorische oplossingen. Wil je hier meer over weten? Lees dan ons artikel: ‘Manieren om persoonsgegevens te beschermen’.

Mogen organisaties in andere EU-landen persoonsgegevens voor mij verwerken?

De AVG geldt voor de hele EU (en staat ook wel bekend onder de Engelse naam: General Data Protection Regulation/GDPR). Daarom mogen ook organisaties in andere EU-landen persoonsgegevens voor je verwerken. Een verwerkersovereenkomst is dan genoeg. Dat geldt ook voor de landen van de Europese Economische Ruimte: de EU aangevuld met Liechtenstein, Noorwegen en IJsland.

Mogen organisaties buiten de EU persoonsgegevens voor mij verwerken?

Op de site van de Europese Commissie staat een overzicht van landen die voldoende bescherming bieden. Voor deze landen geldt een zogenaamd ‘adequaatheidsbesluit’. Staat het land van jouw verwerker daar niet tussen? Dan moet je extra maatregelen nemen, zoals een aanvullend contract met daarin enkele standaardbepalingen (standard contractual clauses). Deze vind je op de website van de Europese Commissie.

Meer

Snel en makkelijk!

"Het creëren van een juridisch document is makkelijk en snel gedaan! Binnen 2 klikken kon ik al de juiste documenten voor mijn bedrijf vinden!"

- Bjorn Waaijer, SportIT

Wie verwerking van persoonsgegevens uitbesteedt, heeft een verwerkersovereenkomst nodig. Dat vinden wij niet alleen, het is ook verplicht bij wet. Creëer online je eigen verwerkersovereenkomst op SmartAgreements.

Lees meer
Verberg

Bedankt!