Menu
JPR Advocaten

Verwerkersovereenkomst AVG: zo stelt u hem waterdicht op

Wanneer de persoonsgegevens rechtsgeldig zijn verzameld door uw organisatie, kan het zo zijn dat u het overige deel van het verwerkingsproces uit handen wilt geven aan een andere partij. Wees er daarbij van bewust dat u in deze gevallen ook afspraken maakt hoe omgegaan moet worden met de persoonsgegevens. Bijvoorbeeld: wie dient een melding te doen wanneer een datalek optreedt? En wat mag de bewerker allemaal met uw gegevens doen? Wie neemt het verzoek van een betrokkene in behandeling? Ook processueel gezien is het verstandig om de verhoudingen goed vast te leggen. Deze afspraken legt u vast in een verwerkersovereenkomst.

Wat staat er in een verwerkersovereenkomst?

In eerste instantie bepaalt de verwerkersovereenkomst wie welke rol heeft, verwerkingsverantwoordelijke of verwerker. Het kan ook voorkomen dat beide partijen gezamenlijk verwerkingsverantwoordelijke zijn. In dat geval moeten partijen in een (verwerkers)overeenkomst samen bepalen hoe om te gaan met persoonsgegevens. Mocht er een probleem optreden, zoals verlies van persoonsgegevens, dan kunnen de partijen terugvallen op de gemaakte afspraken in de verwerkersovereenkomst. Deze verwerkersovereenkomst regelt verder bijvoorbeeld wie er aansprakelijk is voor schade van derde partijen, welke subverwerkers mogen worden ingeschakeld en wie het doel en middelen voor de verwerking vaststelt. In de verwerkersovereenkomst moeten dus ook afspraken worden gemaakt over de technische (en organisatorische) beveiligingsmaatregelen. Een ander punt is dat in deze overeenkomst vastgesteld wordt wie er een melding moet doen wanneer er sprake is van een datalek. Dit kan hoge boetes van de Autoriteit Persoonsgegevens wegens het te laat – of niet – melden van het datalek voorkomen. Een verwerkersovereenkomst regelt dus meer dan alleen de aansprakelijkheid tussen partijen en ziet op alle facetten van de verwerking van persoonsgegevens. De verwerkersovereenkomst kan hiermee een hoop discussie voorkomen.

Wanneer is een verwerkersovereenkomst nodig?

Bij de inschakeling van een verwerker door een verwerkingsverantwoordelijke is een verwerkersovereenkomst volgens de AVG verplicht. Overigens blijkt dat organisaties met de komst van de AVG met alle partners een verwerkersovereenkomst willen sluiten. Dit is een veelgemaakte fout. Als verwerkingsverantwoordelijke is een organisatie enkel verplicht een verwerkersovereenkomst te sluiten met een partij die specifiek de opdracht krijgt om persoonsgegevens te verwerken namens de verantwoordelijke.

Het gaat hier dus niet om partijen die persoonsgegevens nodig hebben om vervolgens zelf een dienst of product aan elkaar te kunnen leveren. Vaak is het doel op dat moment ook niet de verwerking van persoonsgegevens en dienen de persoonsgegevens alleen ter ondersteuning van de overeenkomst.

Twee voorbeelden ter illustratie. Een bedrijf dat de salarisadministratie overneemt is een verwerker waarvoor een verwerkersovereenkomst verplicht is. Het verwerken van de persoonsgegevens is hier de kern van de overeenkomst. Een installateur waarmee een onderhoudsovereenkomst wordt gesloten, verwerkt ook persoonsgegevens, bijvoorbeeld persoonsgegevens van de contactpersonen. De persoonsgegevens dienen dan alleen ter ondersteuning van de overeenkomst. In dit tweede voorbeeld is dus geen verwerkersovereenkomst nodig.

Advies over verwerkersovereenkomsten of privacywetgeving nodig?

Gaat u een verwerkersovereenkomst sluiten met een nieuwe partner? JPR Advocaten beschikt over ruime expertise en kennis op het gebied van de AVG en privacywetgeving. Wij kunnen u dan ook in het gehele proces adviseren. Ook wanneer u een verwerkersovereenkomst wilt laten nakijken staan wij u bij.
Schroom niet om contact op te nemen met één van onze advocaten.

Meer weten over onze dienstverlening?
Neem contact op
Alle advocaten binnen het rechtsgebied Privacyrecht
Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: