Het is een document waar veel organisaties tegenaan hikken: de verwerkersovereenkomst. Over de inhoud van dit document wordt veel onderhandeld. Er zal maar wat gebeuren met persoonsgegevens van jouw organisatie, of juist de persoonsgegevens van jouw klanten. Daar zit niemand op te wachten, en dus moeten er goede afspraken worden gemaakt over hoe om te gaan met persoonsgegevens. Maar wat zet je eigenlijk in de verwerkersovereenkomst?

Verwerkingsverantwoordelijke en verwerker

De AVG verplicht organisaties om afspraken te maken over de verwerking van persoonsgegevens. Het bedrijf dat het doel en de middelen voor het verwerken van persoonsgegevens bepaalt, is de verwerkingsverantwoordelijke. Denk aan het uitbesteden van de personeelsadministratie, het in gebruik nemen van een nieuw HR-systeem, of gebruik maken van een programma dat nieuwsbrieven verstuurt. De verwerker handelt in opdracht van de verwerkingsverantwoordelijke, en verwerkt de persoonsgegevens dus namens de verwerkingsverantwoordelijke. Het komt voor dat het eigenlijk de verwerker is die de middelen bepaalt, omdat de verwerker bijvoorbeeld beschikt over eigen software. Maar dan nog is het van belang dat de verwerker handelt conform de instructies van de verwerkingsverantwoordelijke.

Persoonsgegevens en betrokkenen

Ten eerste is het natuurlijk belangrijk dat de verwerker weet welke persoonsgegevens verwerkt moeten worden, en bij welke soort betrokkenen (medewerkers, websitebezoekers of misschien wel patiënten) die persoonsgegevens horen. Het is gebruikelijk om in een bijlage de categorieën betrokkenen en persoonsgegevens op te nemen.

Doorgifte van persoonsgegevens

Blijven persoonsgegevens binnen de Europese Economische Ruimte of worden ze ook doorgegeven aan derde landen? De verwerkingsverantwoordelijke kan bepaalde redenen hebben om de persoonsgegevens binnen Europa te houden, maar daarentegen kan de verwerker ook weer bepaalde motieven hebben om juist gebruik te maken van een subverwerker in een derde land. En dan gaan de gegevens wel de Europese grenzen over. Hier dienen dan ook afspraken over te worden gemaakt.

Datalekken

Datalekken: toch een veel gevreesd onderwerp. Logisch, want organisaties willen niet dat hun persoonsgegevens op straat komen te liggen. En als verwerker wil je ook geen fouten maken, dat is immers slecht voor de reputatie. In de verwerkersovereenkomst leg je vast op welke momenten de verwerker de verwerkingsverantwoordelijke moet informeren over een datalek. Al bij een vermoeden of pas wanneer daadwerkelijk vaststaat dat gegevens zijn gelekt? Moet er zo snel mogelijk worden geïnformeerd of kiezen partijen een harde deadline van 24 of 48 uur?

Overige onderwerpen

Tot slot zijn er naast de bovengenoemde onderwerpen nog andere zaken die in de verwerkersovereenkomst geregeld moeten worden. Denk aan het uitvoeren van een Data Protection Impact Assessment, hoe om te gaan met de rechten van betrokkenen, het verwijderen van persoonsgegevens na afloop van de dienstverlening, maar ook het (laten uitvoeren van) audits en natuurlijk beveiligingsmaatregelen.

Via het Privacy Verified portaal kunnen organisaties zelf verwerkersovereenkomsten genereren. Niet helemaal zeker of de verwerkersovereenkomst nou wel zo voordelig is opgesteld? Geen probleem. Wij kijken met je mee en passen de verwerkersovereenkomst voor jouw organisatie aan.