Als u persoonsgegevens deelt met derden zoals een websitebouwer of CRM-leverancier, dan heeft u in bepaalde gevallen een verwerkersovereenkomst nodig. Hierin legt u vast wat deze partijen (oftewel ‘verwerkers’) wel en niet mogen doen met de gegevens. BOVAG zet 11 aandachtspunten voor u op een rij die u in ieder geval moet vastleggen.
Weten met wie u precies een verwerkersovereenkomst af moet sluiten? Dat leest u in dit artikel.
Let op: de eerste 10 aandachtspunten moet u verplicht vastleggen op grond van de AVG.
Beschrijf in de overeenkomst allereerst de hoofdlijnen, zoals het onderwerp, de duur, de aard en het doel van de verwerking. En daarnaast het soort persoonsgegevens, wie de betrokkenen zijn (bijvoorbeeld klanten of medewerkers) en de rechten en verplichtingen van de verwerkingsverantwoordelijke (dat bent u in veel gevallen). Deze informatie wordt vaak vastgelegd in een bijlage.
In de verwerkersovereenkomst legt u afspraken vast over dat de verwerker de persoonsgegevens uitsluitend verwerkt in opdracht en op basis van schriftelijke instructies van u (als verwerkingsverantwoordelijke). Neem ook op of de verwerker wel of niet persoonsgegevens doorgeeft aan landen buiten de EU en - als dat gebeurt - onder welke voorwaarden.
Het is belangrijk om te waarborgen dat de personen die persoonsgegevens voor u gaan verwerken, hier vertrouwelijk mee omgaan. Daarom wordt deze verplichting vaak niet alleen opgelegd aan de verwerker, maar ook aan zijn personeel of door de verwerker ingeschakelde derden. Voeg dit (en ook eventuele uitzonderingen) toe aan de overeenkomst.
De verwerker en u zijn verplicht om afspraken te maken over de beveiliging van de persoonsgegevens. Het gaat om alle technische en organisatorische maatregelen die getroffen moeten worden op een op het risico afgestemd beveiligingsniveau te waarborgen. Zorg dat de beveiligingsmaatregelen concreet zijn vastgelegd, ook hoe deze periodiek geëvalueerd worden en wanneer en onder welke voorwaarden ze mogen of zelfs moeten wijzigen.
De verwerker moet u in geval van een datalek (ook wel een beveiligingsincident genoemd) spoedig informeren en met u meewerken aan het nakomen van de meldplicht die u heeft. Neem de meldingstermijn die de verwerker heeft op in het document, beoordeel of deze redelijk is en hoe het zit met vergoeding van de kosten als er een melding gedaan moet worden.
De verwerker moet de u ‘redelijke’ medewerking verlenen, bijvoorbeeld in geval van verzoeken van betrokkenen. Denk aan een klant die een verzoek tot inzage in zijn persoonsgegevens doet, of de aanpassing of verwijdering daarvan. Beschrijf wie de kosten van de medewerking van de verwerker draagt.
Naast de bijstand die de verwerker moet leveren bij een datalek of verzoeken van betrokkenen, moet de verwerker u ook te hulp staan in geval van bijvoorbeeld een gegevensbeschermingseffectbeoordeling (ook wel een Data Protection Impact Assessment genoemd). Neem ook hier op wie de kosten van de medewerking van de verwerker draagt.
In de overeenkomst legt u ook vast of de verwerker de persoonsgegevens na afloop moet wissen of terugbezorgen. Spreek bijvoorbeeld af:
Houd in de verwerkersovereenkomst rekening met mogelijke wettelijke verplichtingen om deze gegevens langer te bewaren.
De verwerker moet u alle informatie beschikbaar stellen, die nodig is om het nakomen van afspraken aan te tonen. Ook moet de verwerker meewerken aan controles of audits die door of namens u worden uitgevoerd. In de verwerkersovereenkomst beschrijft u de reikwijdte van de audit (nakoming van enkele afspraken of van de gehele overeenkomst), de termijn, de voorwaarden en voor wie de kosten zijn.
In de verwerkersovereenkomst maakt u afspraken over het aanstellen van ‘subverwerkers’ (een soort onderaannemer). Een verwerker mag alleen een andere verwerker aanstellen als hij schriftelijke toestemming van u heeft. Maak goede afspraken over de manier waarop de verwerker u informeert over wijzigingen.
Aansprakelijkheid en boetes worden weliswaar in de AVG geregeld, maar het kan wel verstandig zijn om onderling af te spreken hoe u omgaat met aansprakelijkheid, boetes en vrijwaringen. Een paar aandachtspunten:
Check of er nog andere voorwaarden en contracten van toepassing zijn, zoals de Nederland ICT-voorwaarden. Deze voorwaarden zijn in het voordeel van de (software)leverancier opgesteld en deze sluiten de aansprakelijkheid grotendeels uit. Dit kan in uw nadeel zijn. Om dit te voorkomen, kunt u dergelijke voorwaarden uitsluiten in de verwerkersovereenkomst (ofwel: de verwerkersovereenkomst moet prevaleren).
In de BOVAG Privacytool kunt u een standaard verwerkersovereenkomst downloaden. Aan de hand van een extra checklist kunt u controleren of uw verwerkersovereenkomst met een derde partij voldoende is ‘dichtgetimmerd’. De BOVAG Privacytool leidt u in zestien stappen door de privacywetgeving. Ga voor meer informatie naar mijn.bovag.nl/privacy. Heeft u vragen over verwerkersovereenkomsten? Neem dan contact op met BOVAG Ledenadvies via (030) 659 53 00.