Bekijk de video van jurist Ruud met een korte uitleg over de verwerkersovereenkomst >>
Eerst was er de Wet bescherming persoonsgegevens (Wbp). Op basis van deze wet was het verplicht om een bewerkersovereenkomst te sluiten wanneer er persoonsgegevens werden verwerkt. De Wbp is vervangen door de Algemene Verordening Persoonsgegevens (AVG) die per 25 mei 2018 in werking is getreden. Op basis van deze Verordening geldt de verplichting tot het sluiten van een verwerkersovereenkomst. Wat is een verwerkersovereenkomst nu precies en zit er verschil tussen een bewerkersovereenkomst en een verwerkersovereenkomst?
Om maar meteen met de deur in huis te vallen: als je als bedrijf of organisatie persoonsgegevens laat verwerken door een ander, moet daarvoor een verwerkersovereenkomst worden gesloten. Een voorbeeld daarvan is het bedrijf dat de salarisadministratie uitbesteed aan een administratiekantoor. Het administratiekantoor krijgt dan toegang tot persoonsgegevens van de medewerkers van het bedrijf.
Volgens artikel 4 lid 1 AVG is een persoonsgegeven: ‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (,,de betrokkene”). Denk daarbij aan een e-mailadres waarin de naam van de betrokkene is vermeld, het woonadres van de betrokkene of het burgerservicenummer (BSN) van deze.
Is verwerken altijd iets actiefs?
Een misverstand is dat bij het woord ‘verwerken’ aan iets actiefs moet worden gedacht. Verwerken is in tegenstelling tot wat de naam doet vermoeden, niet alleen het wijzigen, bijwerken of gebruiken van persoonsgegevens, maar bijvoorbeeld ook het opvragen en raadplegen hiervan. Dus ook wanneer men toegang heeft tot persoonsgegevens maar er niets actiefs mee doet, dient de verwerkersovereenkomst te worden gesloten.
Wat moet er zoal worden opgenomen in de verwerkersovereenkomst?
Oke, maar als u een verwerkersovereenkomst gaat sluiten wat moet hier dan allemaal in komen? Dit is in de verordening vastgelegd. Dit zijn de volgende onderdelen:
– Het onderwerp en de duur van de verwerking;
– De aard en het doel van de verwerking;
– Het soort persoonsgegevens;
– Categorieën van betrokkenen;
– De rechten en verplichtingen van de verwerkingsverantwoordelijke.
Daarnaast dient in de overeenkomst onder andere te worden bepaald dat de verwerker:
– De persoonsgegevens uitsluitend verwerkt op basis van de schriftelijke instructies van de verwerkingsverantwoordelijke (onder andere met betrekking tot het doorgeven van persoonsgegevens aan een derde land of een internationale organisatie);
– Ervoor zorgt dat de personen die zich bezighouden met de verwerking van de persoonsgegevens vertrouwelijkheid in acht nemen;
– Passende technische en organisatorische maatregelen treft om een op het risico afgestemd beveiligingsniveau te waarborgen;
– Aan alle vereisten voor het in dienst nemen van een andere verwerker voldoet;
– De verwerkingsverantwoordelijke ondersteunt wanneer de betrokkene een van zijn rechten uitoefent (bijvoorbeeld het inzagerecht, waarbij hij een kopie opvraagt van de persoonsgegevens die de verwerkingsverantwoordelijke van hem heeft en verwerkt);
– Na afloop van de verwerking, de persoonsgegevens wist of aan de verwerkingsverantwoordelijke terugbezorgt en bestaande kopieën verwijdert, tenzij deze moeten worden bewaard.
Moet er altijd een verwerkersovereenkomst worden gesloten?De AVG zegt dat de verwerking door de verwerker wordt geregeld in een overeenkomst of andere rechtshandeling…’. Het hoeft dus niet perse in een overeenkomst te worden geregeld. Denk bij een andere rechtshandeling bijvoorbeeld aan de mogelijkheid om de afspraken onderdeel te maken van uw algemene voorwaarden. Als er dan wordt getekend voor akkoord voor de algemene voorwaarden, gaat men dus ook akkoord met de bepalingen inzake de verwerking.
Wat als er geen verwerkingsovereenkomst wordt gesloten?Op grond van de Wbp gold de verplichting tot het sluiten van de bewerkersovereenkomst voor de bewerkingsverantwoordelijke. Op grond van de AVG geldt deze verplichting voor beide partijen. Wordt er niet aan deze verplichting voldaan? Dan riskeert u op grond van artikel 83 lid 4 onder a AVG een boete tot € 10.000.000 of tot 2% van de wereldwijde jaaromzet in het voorgaande boekjaar als dit meer is.
Zit er verschil tussen de bewerkersovereenkomst en de verwerkersovereenkomst?Nee, alleen de naam is anders.
Wil je meer weten over de verwerkersovereenkomst of heeft u er een nodig? Neem dan contact op met onze ICT-juristen. Zij helpen u graag verder.
Deze blog is onderdeel van een vierdelige blogreeks over de verwerkersovereenkomst.
Lees Deel 1 – Wat is een verwerkersovereenkomst?
Lees Deel 2 – Ben ik verwerkingsverantwoordelijke, verwerker of subverwerker?
Lees Deel 3 – De verwerkersovereenkomst en de aansprakelijkheid
Lees Deel 4 – Misverstanden over de verwerkersovereenkomst