U bent hier

OR & Medezeggenschap
Privacy en AVG11. Externe partijen11.2 Verwerkersovereenkomst
Voor OR & Medezeggenschap

11.2 Verwerkersovereenkomst

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

aansprakelijk

onrechtmatig

subverwerker

Bepaalt uw organisatie wel zelf het doel en de middelen van de verwerking van persoonsgegevens en besteedt zij dat uit aan een verwerker, dan is zij wettelijk verplicht om een verwerkersovereenkomst te sluiten met de andere partij. Uw organisatie moet dan met de verwerker afspreken welke persoonsgegevens worden verwerkt, hoe en waarom. Daarnaast moet in de verwerkersovereenkomst in ieder geval het volgende aan bod komen:

  • Een bepaling dat de verwerker de persoonsgegevens in opdracht van de organisatie verwerkt. Volgens de wet is de organisatie als verantwoordelijke aansprakelijk voor de gegevensverwerking. Dat kan alleen als de verwerker haar aanwijzingen opvolgt.
  • De verwerker moet de persoonsgegevens die hij te zien krijgt verplicht geheimhouden, behalve bij een wettelijke verplichting tot mededeling.
  • De verplichting dat de verwerker maatregelen moet treffen tegen verlies of onrechtmatige verwerking. Deze maatregelen moeten – rekening houdend met wat technisch en financieel mogelijk is – voor een passend beveiligingsniveau zorgen, gelet op de risico’s van de verwerking en de aard van de gegevens. Een voorbeeld is versleuteling van gegevensuitwisseling door ‘transport layer security’ (TLS, een encryptieprotocol voor communicatie tussen computers).
  • Een bepaling dat de verwerker bij het inschakelen van een subverwerker (een onderaannemer) daarvoor de uitdrukkelijke toestemming nodig heeft van de organisatie.
  • Afspraken over wat er met de gegevens moet gebeuren bij beëindiging van de overeenkomst. Hierbij is het belangrijk te voorkomen dat gegevens bij de verwerker achterblijven. Uw organisatie moet dus niet vergeten af te spreken dat de verwerker een kopie van de persoonsgegevens overdraagt voordat hij ze vernietigt.

Wie welke rol vervult bij het uitbesteden van persoonsgegevens is soms niet direct duidelijk. Toch is dat belangrijk om vast te stellen vanwege de wettelijke plichten die bij iedere rol horen.

Afspraken vastleggen

Besteedt uw organisatie de gegevensverwerking uit aan een verwerker, leg dan alle gemaakte afspraken ook vast in de verwerkersovereenkomst. Zo voldoet iedereen aan de wet en heeft u beiden goed in kaart hoe de beveiliging van de persoonsgegevens gewaarborgd wordt.

11.2.1 Bepalingen verwerkersovereenkomst

instructie

vertrouwelijkheid

maatregelen

inbreuk

In de verwerkersovereenkomst wordt volgens de AVG bepaald dat de verwerkende partij:

  • de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verantwoordelijke. Dat is onder meer belangrijk bij het doorspelen van persoonsgegevens aan een derde land of een internationale organisatie. De verwerker hoeft zich hier niet aan te houden als een Nederlandse of EU-brede wet hem tot verwerking verplicht. In dat geval stelt de verwerker de verantwoordelijke voorafgaand aan de verwerking op de hoogte van dat wettelijk voorschrift, tenzij die wetgeving kennisgeving verbiedt;
  • waarborgt dat de personen die zijn gemachtigd om persoonsgegevens te verwerken zich verplichten vertrouwelijk met de data om te gaan of door een passende wettelijke verplichting aan vertrouwelijkheid zijn gebonden;
  • alle vereiste beveiligingsmaatregelen neemt die in artikel 32 van de AVG zijn beschreven;
  • aan de voorwaarden voor het in dienst nemen van een andere verwerker voldoet, zoals omschreven in lid 2 en 4 van artikel 32 van de AVG;
  • de verantwoordelijke met passende technische en organisatorische maatregelen helpt bij het vervullen van de plicht om verzoeken om uitoefening van rechten van de betrokkene te beantwoorden;
  • rekening houdend met het soort verwerking en de beschikbare informatie de verantwoordelijke helpt bij het naleven van de verplichtingen uit artikel 32 tot en met 36;
  • na afloop van de verwerkingsdiensten alle persoonsgegevens wist of deze aan de verantwoordelijke terugbezorgt, en bestaande kopieën verwijdert. Dit tenzij opslag van de persoonsgegevens in het nationaal of EU-recht is verplicht;
  • de verantwoordelijke alle informatie geeft die nodig is om de nakoming van de verplichtingen aan te tonen. Dat geldt ook voor audits, waaronder inspecties, die de verantwoordelijke of een door de verantwoordelijke gemachtigde controleur mogelijk maakt. De verwerker stelt de verantwoordelijke onmiddellijk in kennis als naar zijn mening een instructie voor een inbreuk betekent op de AVG of op een andere nationale of EU-brede wet op het gebied van gegevensbescherming.

Een goede verwerkersovereenkomst opstellen, kan lastig zijn. Gebruik daarom Rendements Voorbeeld verwerkersovereenkomst als basis.

11.2.2 Subverwerker

garanties

Wanneer een verwerker een andere verwerker in dienst neemt om voor de verantwoordelijke specifieke verwerkingsactiviteiten te verrichten, gelden voor deze andere verwerker dezelfde verplichtingen die zijn opgenomen in de overeenkomst.

Het gaat dan met name om de verplichting om genoeg garanties te bieden op het gebied van beveiliging. Ook de subverwerker moet passende technische en organisatorische maatregelen bieden zodat de verwerking aan de bepalingen uit de AVG voldoet. Als de andere verwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft de oorspronkelijke verwerker voor de verantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.

Het is dus bij subverwerkers extra van belang dat de verwerker en de verantwoordelijke de afspraken binnen de keten goed op elkaar afstemmen.