Als u persoonsgegevens deelt met derden zoals een websitebouwer of CRM-leverancier, dan heeft u in bepaalde gevallen een verwerkersovereenkomst nodig. Hierin legt u vast wat deze partijen (oftewel ‘verwerkers’) wel en niet mogen doen met de gegevens. BOVAG zet 11 aandachtspunten voor u op een rij die u in ieder geval moet vastleggen.
Weten met wie u precies een verwerkersovereenkomst af moet sluiten? Dat leest u in dit artikel.
Let op: de eerste 10 aandachtspunten moet u verplicht vastleggen op grond van de AVG.
1. Onderwerp en duur
Beschrijf in de overeenkomst allereerst de hoofdlijnen, zoals het onderwerp, de duur, de aard en het doel van de verwerking. En daarnaast het soort persoonsgegevens, wie de betrokkenen zijn (bijvoorbeeld klanten of medewerkers) en de rechten en verplichtingen van de verwerkingsverantwoordelijke (dat bent u in veel gevallen). Deze informatie wordt vaak vastgelegd in een bijlage.
2. Schriftelijke instructies
In de verwerkersovereenkomst legt u afspraken vast over dat de verwerker de persoonsgegevens uitsluitend verwerkt in opdracht en op basis van schriftelijke instructies van u (als verwerkingsverantwoordelijke). Neem ook op of de verwerker wel of niet persoonsgegevens doorgeeft aan landen buiten de EU en - als dat gebeurt - onder welke voorwaarden.
3. Vertrouwelijkheid
Het is belangrijk om te waarborgen dat de personen die persoonsgegevens voor u gaan verwerken, hier vertrouwelijk mee omgaan. Daarom wordt deze verplichting vaak niet alleen opgelegd aan de verwerker, maar ook aan zijn personeel of door de verwerker ingeschakelde derden. Voeg dit (en ook eventuele uitzonderingen) toe aan de overeenkomst.
4. Beveiligingsmaatregelen
De verwerker en u zijn verplicht om afspraken te maken over de beveiliging van de persoonsgegevens. Het gaat om alle technische en organisatorische maatregelen die getroffen moeten worden op een op het risico afgestemd beveiligingsniveau te waarborgen. Zorg dat de beveiligingsmaatregelen concreet zijn vastgelegd, ook hoe deze periodiek geëvalueerd worden en wanneer en onder welke voorwaarden ze mogen of zelfs moeten wijzigen.
5. Meldplicht datalekken
De verwerker moet u in geval van een datalek (ook wel een beveiligingsincident genoemd) spoedig informeren en met u meewerken aan het nakomen van de meldplicht die u heeft. Neem de meldingstermijn die de verwerker heeft op in het document, beoordeel of deze redelijk is en hoe het zit met vergoeding van de kosten als er een melding gedaan moet worden.
6. Medewerking bij verzoeken van klanten
De verwerker moet de u ‘redelijke’ medewerking verlenen, bijvoorbeeld in geval van verzoeken van betrokkenen. Denk aan een klant die een verzoek tot inzage in zijn persoonsgegevens doet, of de aanpassing of verwijdering daarvan. Beschrijf wie de kosten van de medewerking van de verwerker draagt.
7. Overige medewerking door de verwerker
Naast de bijstand die de verwerker moet leveren bij een datalek of verzoeken van betrokkenen, moet de verwerker u ook te hulp staan in geval van bijvoorbeeld een gegevensbeschermingseffectbeoordeling (ook wel een Data Protection Impact Assessment genoemd). Neem ook hier op wie de kosten van de medewerking van de verwerker draagt.
8. Teruggave of wissen van gegevens na afloop
In de overeenkomst legt u ook vast of de verwerker de persoonsgegevens na afloop moet wissen of terugbezorgen. Spreek bijvoorbeeld af:
- De termijn waarbinnen gegevens (ook kopieën) verwijderd of teruggegeven moeten worden.
- Welke vorm van bewijs van vernietiging wordt geaccepteerd.
- Of er een boetebeding van toepassing is als de afspraak niet wordt nagekomen.
- Wie de kosten van teruggave of vernietiging betaalt.
Houd in de verwerkersovereenkomst rekening met mogelijke wettelijke verplichtingen om deze gegevens langer te bewaren.
9. Controle op nakoming en audits
De verwerker moet u alle informatie beschikbaar stellen, die nodig is om het nakomen van afspraken aan te tonen. Ook moet de verwerker meewerken aan controles of audits die door of namens u worden uitgevoerd. In de verwerkersovereenkomst beschrijft u de reikwijdte van de audit (nakoming van enkele afspraken of van de gehele overeenkomst), de termijn, de voorwaarden en voor wie de kosten zijn.
10. Aanstellen subverwerkers
In de verwerkersovereenkomst maakt u afspraken over het aanstellen van ‘subverwerkers’ (een soort onderaannemer). Een verwerker mag alleen een andere verwerker aanstellen als hij schriftelijke toestemming van u heeft. Maak goede afspraken over de manier waarop de verwerker u informeert over wijzigingen.
11. Aansprakelijkheid en boetes
Aansprakelijkheid en boetes worden weliswaar in de AVG geregeld, maar het kan wel verstandig zijn om onderling af te spreken hoe u omgaat met aansprakelijkheid, boetes en vrijwaringen. Een paar aandachtspunten:
- Let op bij welke bij welke schadesoorten aansprakelijkheid wordt aanvaard of uitgesloten.
- Check of de aansprakelijkheid tot een redelijk bedrag is beperkt.
- Als naar een verzekering wordt verwezen, is het belangrijk te controleren of deze verzekering adequaat is en wat de risico’s zijn.
- In geval van een vrijwaring is het oppassen geblazen (zeker als de vrijwaring ook betrekking heeft op boetes) als de vrijwaring niet beperkt is tot een maximumbedrag.
Check of er nog andere voorwaarden en contracten van toepassing zijn, zoals de Nederland ICT-voorwaarden. Deze voorwaarden zijn in het voordeel van de (software)leverancier opgesteld en deze sluiten de aansprakelijkheid grotendeels uit. Dit kan in uw nadeel zijn. Om dit te voorkomen, kunt u dergelijke voorwaarden uitsluiten in de verwerkersovereenkomst (ofwel: de verwerkersovereenkomst moet prevaleren).
Gebruik de voorbeeld-verwerkersovereenkomst
In de BOVAG Privacytool kunt u een standaard verwerkersovereenkomst downloaden. Aan de hand van een extra checklist kunt u controleren of uw verwerkersovereenkomst met een derde partij voldoende is ‘dichtgetimmerd’. De BOVAG Privacytool leidt u in zestien stappen door de privacywetgeving. Ga voor meer informatie naar mijn.bovag.nl/privacy. Heeft u vragen over verwerkersovereenkomsten? Neem dan contact op met BOVAG Ledenadvies via (030) 659 53 00.