AVG: deze 11 dingen moet je in ieder geval vastleggen in een verwerkersovereenkomst

Als je persoonsgegevens deelt met derden zoals een websitebouwer of CRM-leverancier, dan heb je in bepaalde gevallen een verwerkersovereenkomst nodig. Hierin leg je vast wat deze partijen (oftewel ‘verwerkers’) wel en niet mogen doen met de gegevens. BOVAG zet 11 aandachtspunten voor je op een rij die je in ieder geval moet vastleggen.

Weten met wie je precies een verwerkersovereenkomst af moet sluiten? Dat lees je in dit artikel.

Let op: de eerste 10 aandachtspunten moet u verplicht vastleggen op grond van de AVG.

1. Onderwerp en duur

Beschrijf in de overeenkomst allereerst de hoofdlijnen, zoals het onderwerp, de duur, de aard en het doel van de verwerking. En daarnaast het soort persoonsgegevens, wie de betrokkenen zijn (bijvoorbeeld klanten of medewerkers) en de rechten en verplichtingen van de verwerkingsverantwoordelijke (dat bent u in veel gevallen). Deze informatie wordt vaak vastgelegd in een bijlage.

2. Schriftelijke instructies

In de verwerkersovereenkomst leg je afspraken vast over dat de verwerker de persoonsgegevens uitsluitend verwerkt in opdracht en op basis van schriftelijke instructies van u (als verwerkingsverantwoordelijke). Neem ook op of de verwerker wel of niet persoonsgegevens doorgeeft aan landen buiten de EU en - als dat gebeurt - onder welke voorwaarden.

3. Vertrouwelijkheid

Het is belangrijk om te waarborgen dat de personen die persoonsgegevens voor je gaan verwerken, hier vertrouwelijk mee omgaan. Daarom wordt deze verplichting vaak niet alleen opgelegd aan de verwerker, maar ook aan zijn personeel of door de verwerker ingeschakelde derden. Voeg dit (en ook eventuele uitzonderingen) toe aan de overeenkomst.

4. Beveiligingsmaatregelen

De verwerker en jij zijn verplicht om afspraken te maken over de beveiliging van de persoonsgegevens. Het gaat om alle technische en organisatorische maatregelen die getroffen moeten worden op een op het risico afgestemd beveiligingsniveau te waarborgen. Zorg dat de beveiligingsmaatregelen concreet zijn vastgelegd, ook hoe deze periodiek geëvalueerd worden en wanneer en onder welke voorwaarden ze mogen of zelfs moeten wijzigen.

5. Meldplicht datalekken

De verwerker moet je in geval van een datalek (ook wel een beveiligingsincident genoemd) spoedig informeren en met je meewerken aan het nakomen van de meldplicht die je hebt. Neem de meldingstermijn die de verwerker heeft op in het document, beoordeel of deze redelijk is en hoe het zit met vergoeding van de kosten als er een melding gedaan moet worden.

6. Medewerking bij verzoeken van klanten

De verwerker moet jou de ‘redelijke’ medewerking verlenen, bijvoorbeeld in geval van verzoeken van betrokkenen. Denk aan een klant die een verzoek tot inzage in zijn persoonsgegevens doet, of de aanpassing of verwijdering daarvan. Beschrijf wie de kosten van de medewerking van de verwerker draagt.

7. Overige medewerking door de verwerker

Naast de bijstand die de verwerker moet leveren bij een datalek of verzoeken van betrokkenen, moet de verwerker je ook te hulp staan in geval van bijvoorbeeld een gegevensbeschermingseffectbeoordeling (ook wel een Data Protection Impact Assessment genoemd). Neem ook hier op wie de kosten van de medewerking van de verwerker draagt.

8. Teruggave of wissen van gegevens na afloop

In de overeenkomst leg je ook vast of de verwerker de persoonsgegevens na afloop moet wissen of terugbezorgen. Spreek bijvoorbeeld af:

• De termijn waarbinnen gegevens (ook kopieën) verwijderd of teruggegeven moeten worden.

• Welke vorm van bewijs van vernietiging wordt geaccepteerd.

• Of er een boetebeding van toepassing is als de afspraak niet wordt nagekomen.

• Wie de kosten van teruggave of vernietiging betaalt.

Houd in de verwerkersovereenkomst rekening met mogelijke wettelijke verplichtingen om deze gegevens langer te bewaren.

9. Controle op nakoming en audits

De verwerker moet je alle informatie beschikbaar stellen, die nodig is om het nakomen van afspraken aan te tonen. Ook moet de verwerker meewerken aan controles of audits die door of namens jou worden uitgevoerd. In de verwerkersovereenkomst beschrijf je de reikwijdte van de audit (nakoming van enkele afspraken of van de gehele overeenkomst), de termijn, de voorwaarden en voor wie de kosten zijn.

10. Aanstellen subverwerkers

In de verwerkersovereenkomst maak je afspraken over het aanstellen van ‘subverwerkers’ (een soort onderaannemer). Een verwerker mag alleen een andere verwerker aanstellen als hij schriftelijke toestemming van jou heeft. Maak goede afspraken over de manier waarop de verwerker u informeert over wijzigingen.

11. Aansprakelijkheid en boetes

Aansprakelijkheid en boetes worden weliswaar in de AVG geregeld, maar het kan wel verstandig zijn om onderling af te spreken hoe je omgaat met aansprakelijkheid, boetes en vrijwaringen. Een paar aandachtspunten:

• Let op bij welke bij welke schadesoorten aansprakelijkheid wordt aanvaard of uitgesloten.

• Check of de aansprakelijkheid tot een redelijk bedrag is beperkt.

• Als naar een verzekering wordt verwezen, is het belangrijk te controleren of deze verzekering adequaat is en wat de risico’s zijn.

• In geval van een vrijwaring is het oppassen geblazen (zeker als de vrijwaring ook betrekking heeft op boetes) als de vrijwaring niet beperkt is tot een maximumbedrag.

Check of er nog andere voorwaarden en contracten van toepassing zijn, zoals de Nederland ICT-voorwaarden. Deze voorwaarden zijn in het voordeel van de (software)leverancier opgesteld en deze sluiten de aansprakelijkheid grotendeels uit. Dit kan in je nadeel zijn. Om dit te voorkomen, kun je dergelijke voorwaarden uitsluiten in de verwerkersovereenkomst (ofwel: de verwerkersovereenkomst moet prevaleren).

Gebruik de voorbeeld-verwerkersovereenkomst

In de BOVAG Privacytool kun je een standaard verwerkersovereenkomst downloaden. Aan de hand van een extra checklist kun je controleren of je verwerkersovereenkomst met een derde partij voldoende is ‘dichtgetimmerd’. De BOVAG Privacytool leidt je in zestien stappen door de privacywetgeving. Ga voor meer informatie naar mijn.bovag.nl/privacy. Heb je vragen over verwerkersovereenkomsten? Neem dan contact op met BOVAG Ledenadvies via (030) 659 53 00.