U bent hier

Onderneming & Personeel
Personeelsadministratie6. Veilig gegevens beheren6.3 Verwerkersovereenkomst
Voor Onderneming & Personeel

6.3 Verwerkersovereenkomst

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: juni 2020

overtreden

direct ontstaan

Als uw organisatie de personeelsadministratie (deels) aan een externe partij uitbesteedt (zie hoofdstuk 8), is het belangrijk om ervoor te zorgen dat ook de extern verwerkte persoonsgegevens goed zijn beschermd. Als de privacyregels worden overtreden, is het namelijk nog altijd uw organisatie die daarvoor verantwoordelijk is! De externe verwerker is slechts aansprakelijk voor de schade die direct is ontstaan door zijn werkzaamheden. Verder mag deze partij er de handen vanaf trekken.


Zorg ook bij uitbesteding dat de privacyregels worden gevolgd

Verantwoordelijke versus verwerker

wettelijke plichten

criteria

Bij het uitbesteden van persoonsgegevens is het belangrijk om vast te stellen wie welke rol heeft vanwege de wettelijke plichten die daarbij horen.

  • De verantwoordelijke is de partij die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Als de doelen en de middelen voor deze verwerking in het Nederlandse of het EU-recht zijn vastgesteld, kan daaruit worden afgeleid wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen. In het geval van (deels) uitbesteden van de personeelsadministratie is dat uw organisatie.
  • De verwerker is de partij die persoonsgegevens verwerkt in opdracht van uw organisatie als verwerkingsverantwoordelijke.

Alleen als de (externe) verwerker feitelijk te veel zeggenschap heeft over de verwerking van de persoonsgegevens om slechts als verwerker te gelden, kwalificeert die partij als medeverantwoordelijke.

Externe verwerker

wettelijk verplicht

in opdracht

geheimhouden

subverwerker

kopie

Bepaalt uw organisatie zelf het doel en de middelen van de verwerking van persoonsgegevens en besteedt u dat uit aan een externe verwerker, dan is uw organisatie het wettelijk verplicht om een verwerkersovereenkomst te sluiten met de andere partij. Uw organisatie moet dan in die overeenkomst met de verwerker afspreken welke persoonsgegevens worden verwerkt en hoe en waarom. Daarnaast moeten in de verwerkersovereenkomst in ieder geval de volgende zaken aan bod komen:

  • Een bepaling dat de verwerker de persoonsgegevens in opdracht van uw organisatie verwerkt. Volgens de wet is uw organisatie als verantwoordelijke aansprakelijk voor de gegevensverwerking. Dat kan alleen als de verwerker uw aanwijzingen opvolgt.
  • De verwerker moet de persoonsgegevens die hij te zien krijgt verplicht geheimhouden, behalve bij een wettelijke verplichting tot mededeling.
  • De verplichting dat de verwerker maatregelen moet nemen tegen verlies of onrechtmatige verwerking van de gegevens. De maatregelen moeten – rekening houdend met wat technisch en financieel tot de mogelijkheden behoort – voor een passend beveiligingsniveau zorgen, gelet op de risico’s van de verwerking en de aard van de gegevens. Een voorbeeld is versleuteling van gegevensuitwisseling door ‘transport layer security’ (TLS), dat is een encryptieprotocol voor communicatie tussen computers.
  • Een bepaling dat de verwerker bij het inschakelen van een subverwerker (een onderaannemer) daarvoor de uitdrukkelijke toestemming nodig heeft van uw organisatie.
  • Afspraken over wat er met de gegevens moet gebeuren bij beëindiging van de overeenkomst. Hierbij is het belangrijk te voorkomen dat gegevens bij de verwerker achterblijven. Uw organisatie moet dus niet vergeten af te spreken dat de verwerker een kopie van de persoonsgegevens overdraagt voordat hij ze vernietigt.

Leg bij uitbesteding van de gegevensverwerking álle gemaakte afspraken vast in de verwerkersovereenkomst, niet alleen de wettelijk verplichte. Zo wordt aan de wet voldaan en heeft u beiden goed in kaart hoe de beveiliging van de persoonsgegevens wordt gewaarborgd.

Verwerkende partij

schriftelijke instructies

vertrouwelijk

alle informatie die nodig is

Andere bepalingen die volgens de AVG in de verwerkersovereenkomst moeten staan, hebben betrekking op de verwerkende partij.

  • De verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van uw organisatie als verantwoordelijke. Dat is onder meer belangrijk bij het doorspelen van persoonsgegevens aan een derde land of een internationale organisatie. 
De verwerker hoeft zich hier niet aan te houden als een Nederlandse of EU-brede wet hem tot verwerking verplicht. In dat geval stelt de verwerker de verantwoordelijke voorafgaand aan de verwerking op de hoogte van dat wettelijk voorschrift, tenzij die wetgeving kennisgeving verbiedt.
  • De verwerker waarborgt dat de personen die zijn gemachtigd om persoonsgegevens te verwerken zich verplichten vertrouwelijk met de data om te gaan of door een passende wettelijke verplichting aan vertrouwelijkheid zijn gebonden.
  • De verwerker neemt alle vereiste beveiligingsmaatregelen die in artikel 32 van de AVG zijn beschreven.
  • De verwerker voldoet aan de voorwaarden voor het in dienst nemen van een andere verwerker, zoals omschreven in lid 2 en 4 van artikel 32 van de AVG.
  • De verwerker helpt uw organisatie met passende technische en organisatorische maatregelen bij het vervullen van de plicht om verzoeken om uitoefening van rechten van de betrokken werknemers te beantwoorden.
  • De verwerker houdt rekening met het soort verwerking en de beschikbare informatie die uw organisatie helpt bij het naleven van de verplichtingen uit artikel 32 tot en met 36.
  • De verwerker wist na afloop van de verwerkingsdiensten alle persoonsgegevens of bezorgt deze terug aan uw organisatie, en verwijdert bestaande kopieën (tenzij opslag van de persoonsgegevens in het nationaal of EU-recht is verplicht).
  • De verwerker geeft uw organisatie alle informatie die nodig is om nakoming van de verplichtingen aan te tonen. Dat geldt ook voor audits, waaronder inspecties, die uw organisatie of een door u gemachtigde controleur mogelijk maakt. De verwerker laat het uw organisatie onmiddellijk weten als naar zijn mening een instructie een inbreuk betekent op de AVG of op een andere nationale of EU-brede wet op het gebied van gegevensbescherming.

Het opstellen van een goede verwerkersovereenkomst kan lastig zijn. Om u hierbij op weg te helpen, vindt u op rendement.nl/hrdossier een voorbeeldovereenkomst die u als basis kunt gebruiken.

Subverwerker

genoeg garanties

Als de verwerker die uw organisatie heeft ingeschakeld een andere verwerker in dienst neemt om voor uw organisatie specifieke verwerkingsactiviteiten te verrichten, gelden voor deze andere verwerker dezelfde verplichtingen als die zijn opgenomen in de verwerkersovereenkomst. Het gaat dan met name om de verplichting om genoeg garanties te bieden op het gebied van beveiliging.

volledig aansprakelijk

Ook de subverwerker moet passende technische en organisatorische maatregelen bieden, zodat de verwerking aan de bepalingen uit de AVG voldoet. Als de andere verwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft de oorspronkelijke verwerker voor uw organisatie volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker. Het is dus bij subverwerkers extra van belang dat de verwerker en uw organisatie de afspraken binnen de keten goed op elkaar afstemmen.

Bij werken in de cloud is privacy ook van belang

onduidelijk

Als uw organisatie de personeelsadministratie in de cloud uitvoert, speelt bescherming van de persoonsgegevens uiteraard ook een grote rol. Het is door het werken in de cloud immers onduidelijk waar de gegevens zich feitelijk bevinden. U mag daarom alleen zakendoen met cloud-partijen die voldoende waarborgen bieden voor de veiligheid van de persoonsgegevens. Leg ook in dit geval alle (verplicht te maken) afspraken goed vast in een verwerkersovereenkomst.