Indien u persoonsgegevens verwerkt hebt u rekening te houden met de Europese privacywetgeving: de AVG. U bent dan verantwoordelijke. Laat u deze persoonsgegevens ook nog door een derde verwerken (verwerker), dan bent u verplicht om een verwerkersovereenkomst met deze derde af te sluiten. Een verwerkersovereenkomst wordt ook wel een bewerkersovereenkomst of data processing agreement genoemd.
Wanneer een verwerkersovereenkomst?
Indien u als verantwoordelijke persoonsgegevens door een derde partij laat verwerken (de verwerker), dient u afspraken met deze derde partij te maken. Deze afspraken legt u vast in een verwerkersovereenkomst (onder de Wbp “bewerkersovereenkomst” genoemd).
Voorbeeld van een situatie waarbij een verwerkersovereenkomst vereist is:
een werkgever heeft een online salarisverwerkingssysteem. Het salarisverwerkingssysteem bevat de persoonsgegevens van alle werknemers. De aanbieder van het online salarisverwerkingssysteem wordt gezien als verwerker. Zij verwerkt namelijk in opdracht van de werkgever (verantwoordelijke) de persoonsgegevens van de werknemers. De werkgever zal dus met de aanbieder van het systeem (de verwerker) een verwerkersovereenkomst moeten afsluiten.
Inhoud verwerkersovereenkomst
In een verwerkersovereenkomst wordt onder meer het niveau van de beveiligingsmaatregelen vastgelegd. Ook het doel en de categorieën persoonsgegevens worden beschreven.
Een verwerkersovereenkomst hoeft geen apart contract of document te zijn. Het document mag onderdeel zijn van de (initiële) hoofdovereenkomst.
In artikel 28 lid 3 AVG worden een aantal vast te leggen onderwerpen opgesomd. Bij het opstellen van een verwerkersovereenkomst is het verstandig om de volgende bepalingen op te nemen:
- Contractspartijen, wie zijn partij bij deze overeenkomst;
- Overwegingen waarin de rollen van de verschillende partijen worden benoemd;
- Begrippen, zodat termen als “persoonsgegevens” en “datalek” door alle partijen op dezelfde manier worden uitgelegd;
- Wijze en duur verwerking, waarbij je aangeeft welke persoonsgegevens voor welke duur worden verwerkt;
- Datalekken, wat moet een verwerker doen wanneer er een datalek is ontdekt;
- Battle of forms, hiermee wordt gedoeld op bepalingen in de verwerkersovereenkomst en (bijv.) de algemene voorwaarden, welke bepaling gaat voor;
- Teruggave van persoonsgegevens of het vernietigen van persoonsgegevens bij beëindiging van de overeenkomst;
- Beveiliging, welke maatregelen neemt de verwerker bij het verwerken van de persoonsgegevens voor de verantwoordelijke;
- Auditen, hoe de controle van de beveiliging en naleving van de bepalingen in de overeenkomst plaatsvindt;
- Afspraken over de inzet van derde partijen (subverwerkers) door de verwerker;
- Internationale verwerking, verwerking buiten de EER en de waarborgen;
- Toepasselijk recht, welk recht is van toepassing indien je internationale afspraken maakt.
Voorbeelden en modellen verwerkersovereenkomsten
Er zijn een aantal partijen die hun model verwerkersovereenkomst (data processing agreement) als voorbeeld ter beschikking stellen. Hieronder een overzicht met voorbeelden van bewerkersovereenkomsten, ook wel DPA (data processing agreement) genoemd.
Voorbeeld verwerkersovereenkomst Privacy Company
Voorbeeld verwerkersovereenkomst Coöperatie SURF
Voorbeeld verwerkersovereenkomst Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA)
Voorbeeld verwerkersovereenkomst IBD (Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING))
Voorbeeld verwerkersovereenkomst ARVODI 2018
Voorbeeld bewerkersovereenkomst VGN (Vereniging Gehandicaptenzorg Nederland)
Vragen over de verwerkersovereenkomst
Heeft u vragen over de inhoud van een dergelijke overeenkomst, wilt u een laten nakijken of wilt u een overeenkomst laten opstellen?
Neem dan contact met ons op en wij helpen u verder met de verwerkersovereenkomst.