Wie verwerking van persoonsgegevens uitbesteedt, heeft een verwerkersovereenkomst nodig. Dat vinden wij niet alleen, het is ook verplicht bij wet. Zorg dus dat je overeenkomst goed is opgesteld.
De verwerkersovereenkomst is een belangrijk onderdeel van de AVG. Het beschermt de persoonsgegevens waar je als bedrijf mee werkt. Je stelt een verwerkersovereenkomst op als een ander bedrijf namens jouw bedrijf persoonsgegevens verwerkt (of andersom). In deze overeenkomst tussen de verwerker en de verwerkingsverantwoordelijke staat hoe er met gegevens wordt omgegaan.
De verwerker kan een bedrijf zijn dat de salarisadministratie doet, een IT-bedrijf dat gegevens invoert of een buitenlands bedrijf waar je gegevens mee uitwisselt. Jij bent de verwerkingsverantwoordelijke, omdat gegevens van of namens jouw bedrijf worden verwerkt. Daarom ben jij verantwoordelijk voor een duidelijk verwerkingscontract.
Heb je geen verwerkersovereenkomst maar verwerkt een ander bedrijf namens jouw bedrijf persoonsgegevens? Dan voldoe je niet aan de AVG. Gelukkig is het opstellen van een standaard verwerkersovereenkomst zo geregeld met SmartAgreements.
Gebruik nu onze online tool om een verwerkersovereenkomst te maken.
Elke juridische template wordt gecreëerd, onderhouden en beheerd door advocaten van de beste advocatenkantoren. Zo krijg jij altijd content van de hoogste kwaliteit.
(excl. BTW)
Hoe werkt het
Een verwerkersovereenkomst is een contract tussen twee organisaties. Hierin staan afspraken over op welke manier en met welk doeleinde de ene partij persoonsgegevens verwerkt voor een andere partij.
Je hebt een verwerkersovereenkomst nodig als:
- Je een andere organisatie opdracht geeft om namens jou of jouw bedrijf persoonsgegevens te verwerken.
- Je de opdracht krijgt om persoonsgegevens te verwerken.
Is er dus een samenwerking waarbij je gegevens verwerkt? Dan heb je een verwerkersovereenkomst nodig. Zie ook het artikel: 'Gegevens verwerken? Vergeet de verwerkersovereenkomst niet.'
Bij een verwerkersovereenkomst zijn in ieder geval twee organisaties betrokken: de verwerker en de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke heeft persoonsgegevens die verwerkt moeten worden en bepaalt hoe dat gebeurt. De verwerker voert dit uit in opdracht van de verwerkingsverantwoordelijke. Soms neemt een verwerker ook weer iemand in dienst om gegevens te verwerken. Dat is dan een subverwerker. Klinkt dat verwarrend? Lees dan ons artikel: ‘Ben ik verwerker, subverwerker of verwerkingsverantwoordelijke?’
De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk, ook als de verwerker een fout maakt met de verzamelde persoonsgegevens. Daarom is het maken van goede afspraken zo belangrijk.
Als je verwerker of verwerkingsverantwoordelijke bent, is een verwerkersovereenkomst aangaan verplicht. Doe je dat niet, dan overtreed je de AVG. De Autoriteit Persoonsgegevens (AP) controleert of bedrijven wel AVG-proof werken. Bij overtreding ontvang je meestal eerst een waarschuwing. Krijg je toch een boete, dan kan die oplopen tot €10 miljoen, of zelfs tot 2% van de wereldwijde jaaromzet van je bedrijf als die hoger is dan €500 miljoen. Lijdt een betrokkene schade doordat je geen verwerkersovereenkomst hebt gesloten, dan kan je daarnaast verplicht worden die schade te vergoeden.
Soms heb je geen verwerkersovereenkomst nodig, zoals wanneer je wel met persoonsgegevens werkt als onderdeel van een opdracht, maar niet per se om ze te verwerken. Een accountant krijgt bijvoorbeeld vaak te maken met persoonsgegevens als hij/zij een jaarrekening of een balans opstelt.
Soms is het lastig om te bepalen of je verwerker bent. Als hulpmiddel kun je de volgende vraag stellen: is de verwerking van persoonsgegevens mijn primaire opdracht, of is het een gevolg van de eigenlijke opdracht? In het eerste geval is je bedrijf sowieso verwerker. In het tweede geval is de kans groot dat jouw organisatie géén verwerker is. Meer hierover lees je in ons artikel: ‘Wanneer heb je een verwerkersovereenkomst nodig?’
Je hebt te maken met persoonsgegevens als je door bepaalde gegevens kunt nagaan of het over een bepaalde persoon gaat. Voorbeelden hiervan zijn een e-mailadres, naam en adres. Het onderwerp 'persoonsgegevens' omvat veel, lees daarom ons artikel: ‘Wanneer zijn gegevens persoonsgegevens?’
Alles wat je doet met persoonsgegevens geldt als het verwerken hiervan. Bijvoorbeeld wanneer je gegevens:
- verzamelt via een webformulier of belactie
- opslaat in een database
- opvraagt uit een relatiebestand
- verstuurt aan een klant
- aanpast in een document
- corrigeert of aanvult
- wist
In al deze gevallen verwerk je persoonsgegevens. Het maakt niet uit of dat op eigen initiatief is, op verzoek van de persoon over wie de gegevens gaan of - als je verwerker bent - in opdracht van de verwerkingsverantwoordelijke.
Verwerken is het algemene begrip voor alles wat je kan doen met persoonsgegevens. Opslaan is daardoor ook een vorm van verwerken, zelfs als je op dat moment niets actief doet met de gegevens.
Er bestaan geen vaste regels voor beveiligingsmaatregelen. De AVG geeft vooral criteria die je zelf mag invullen. Die komen erop neer dat je de maatregelen moet afstemmen op de risico’s van de verwerking. Zo tref je bijvoorbeeld strengere maatregelen voor patiëntgegevens dan voor een lijst met verjaardagen. Maatregelen kunnen van alles zijn: van technische tot organisatorische oplossingen. Wil je hier meer over weten? Lees dan ons artikel: ‘Manieren om persoonsgegevens te beschermen’.
De AVG geldt voor de hele EU (en staat ook wel bekend onder de Engelse naam: General Data Protection Regulation/GDPR). Daarom mogen ook organisaties in andere EU-landen persoonsgegevens voor je verwerken. Een verwerkersovereenkomst is dan genoeg. Dat geldt ook voor de landen van de Europese Economische Ruimte: de EU aangevuld met Liechtenstein, Noorwegen en IJsland.
Op de site van de Europese Commissie staat een overzicht van landen die voldoende bescherming bieden. Voor deze landen geldt een zogenaamd ‘adequaatheidsbesluit’. Staat het land van jouw verwerker daar niet tussen? Dan moet je extra maatregelen nemen, zoals een aanvullend contract met daarin enkele standaardbepalingen (standard contractual clauses). Deze vind je op de website van de Europese Commissie.
Documentengenerator. Wie verwerking van persoonsgegevens uitbesteedt, heeft een verwerkersovereenkomst nodig. Dat vinden wij niet alleen, het is ook verplicht bij wet. Creëer online je eigen verwerkersovereenkomst op SmartAgreements.