Waarom een verwerkersovereenkomst nodig is volgens de AVG

Verwerker legt uit welke soort persoonsgegevens

Een verwerkersovereenkomst is essentieel voor elke werkgever die persoonsgegevens laat verwerken door een derde partij. Dit artikel legt uit wat een verwerkersovereenkomst precies is, waarom deze wettelijk verplicht is volgens de AVG en welke elementen erin moeten staan. Je leert hoe je een verwerkersovereenkomst opstelt, welke verplichtingen je hebt als verwerkingsverantwoordelijke, en hoe je ervoor zorgt dat persoonsgegevens veilig worden verwerkt.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een schriftelijke overeenkomst tussen jou als verwerkingsverantwoordelijke en een verwerker die persoonsgegevens verwerkt. Volgens de Algemene Verordening Gegevensbescherming (AVG) ben je wettelijk verplicht om deze overeenkomst als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker (derde partij).

In deze overeenkomst staan de afspraken over hoe de verwerker omgaat met de persoonsgegevens, welke beveiligingsmaatregelen worden getroffen, en welke verantwoordelijkheden de verwerker heeft. Het doel is om de persoonsgegevens die verwerkt worden te beschermen en te zorgen dat dit gebeurt volgens de AVG. De Autoriteit Persoonsgegevens controleert of dit daadwerkelijk gebeurt.

Wanneer is een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst is wettelijk verplicht volgens de AVG wet. Dit zorgt ervoor dat je als verwerkingsverantwoordelijke controle hebt over hoe de persoonsgegevens worden verwerkt door de verwerker. De Autoriteit Persoonsgegevens kan controleren of je voldoet aan de AVG, en zonder verwerkersovereenkomst riskeer je boetes. Een verwerkersovereenkomst biedt ook bescherming voor de betrokkenen wiens gegevens worden verwerkt, doordat het passende waarborgen vastlegt voor de verwerking.

Bovendien zorgt het ervoor dat de verwerker de gegevens niet voor eigen doeleinden gebruikt en dat de verwerking alleen plaatsvindt volgens jouw instructies. Dit is vooral belangrijk wanneer persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt, omdat de AVG specifieke eisen stelt aan doorgifte naar derde landen.

Wat moet er in een verwerkersovereenkomst staan?

Een verwerkersovereenkomst moet duidelijk specificeren welke persoonsgegevens worden verwerkt en voor welke doeleinden. Daarnaast moet de overeenkomst een algemene beschrijving geven van de verwerking en de categorieën van betrokkenen. Je moet ook afspraken maken over passende technische en organisatorische beveiligingsmaatregelen om de gegevens te beschermen. Dit omvat regelmatige beveiligingstesten, audits, en het treffen van maatregelen om datalekken te voorkomen.

De verwerker moet wettelijk verplicht zijn om instructies van jou als verwerkingsverantwoordelijke op te volgen en mag de gegevens niet voor eigen doeleinden gebruiken. Daarnaast moet de verwerker eventuele subverwerkers alleen inschakelen met jouw toestemming en moet hij ervoor zorgen dat dezelfde verplichtingen in de subverwerkersovereenkomst staan. Tot slot moet de verwerkersovereenkomst bepalingen bevatten over de doorgifte van gegevens naar derde landen, waarbij de passende waarborgen voor gegevensbescherming worden gegarandeerd.

Wat is een subverwerkersovereenkomst?

Een subverwerkersovereenkomst is een aanvullende overeenkomst naast de standaard verwerkersovereenkomst die je afsluit wanneer jouw verwerker een andere partij, de subverwerker die de verwerker ondersteunt, inschakelt om persoonsgegevens te verwerken. Net als de verwerkersovereenkomst moet de subverwerkersovereenkomst voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Je moet ervoor zorgen dat de subverwerker dezelfde verplichtingen en beveiligingsmaatregelen volgt als de oorspronkelijke verwerker.

Partijen zetten een handtekening op het voorbeeld verwerkersovereenkomst

 

Stappen voor een verwerkersovereenkomst opstellen

Het opstellen van een verwerkersovereenkomst begint met het identificeren van de betrokkenen en de verwerkingsverantwoordelijken. Verzamel alle relevante informatie over de verwerking van persoonsgegevens en leg deze vast in een verwerkingsregister. Het is belangrijk om duidelijke instructies te formuleren voor de verwerker, zodat persoonsgegevens alleen worden verwerkt volgens jouw richtlijnen.

Leg vast dat de verwerker passende technische en organisatorische maatregelen treft om de verwerking te beveiligen. Dit omvat permanente informatiebeveiliging en regelmatige beveiligingstesten. Controleer ook of de verwerker subverwerkers inschakelt en zorg dat dezelfde verplichtingen in de subverwerkersovereenkomst staan.

Verwerkingsregister: register van verwerkingen

Als werkgever ben je verplicht om een register van verwerkingen bij te houden waarin je alle verwerkingen van persoonsgegevens documenteert. Dit register bevat gedetailleerde informatie over welke persoonsgegevens worden verwerkt, de doeleinden van de verwerking, en de categorieën van betrokkenen.

Daarnaast moet je in het verwerkingsregister opnemen welke technische en organisatorische beveiligingsmaatregelen je hebt getroffen om de persoonsgegevens te beschermen. Dit omvat onder andere regelmatige beveiligingstesten en audits. Het register helpt je om overzicht te houden en te zorgen dat je voldoet aan de AVG.

Bewaartermijnen verwerkersovereenkomst

In de verwerkersovereenkomst moet je duidelijk aangeven hoe lang de persoonsgegevens mogen worden bewaard en welke maatregelen de verwerker wettelijk verplicht is te nemen om de gegevens te vernietigen na afloop van de bewaartermijn.

Je moet ervoor zorgen dat de persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden verwerkt. Dit betekent dat je regelmatig moet evalueren of de gegevens nog relevant zijn en de overeenkomst bijwerken indien nodig. Bespreek met de verwerker welke procedures er zijn voor het veilig verwijderen van gegevens.

Privacy schending

Een privacy schending kan ernstige gevolgen hebben voor jouw organisatie en de betrokkenen. Het is belangrijk om maatregelen te treffen om te voorkomen dat persoonsgegevens onrechtmatig worden verwerkt of in verkeerde handen vallen. Als verwerkingsverantwoordelijke ben je wettelijk verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen.

Bij een privacy schending moet je direct actie ondernemen. Informeer de Autoriteit Persoonsgegevens en de betrokkenen zo snel mogelijk. Zorg dat je een duidelijk plan hebt voor het omgaan met datalekken, inclusief regelmatige beveiligingstesten en audits om zwakke punten in je systemen te identificeren.

Conclusie

Het opstellen van een verwerkersovereenkomst is een belangrijke stap om te voldoen aan de AVG. Door duidelijke afspraken te maken met de verwerker over de verwerking van persoonsgegevens, bescherm je de privacy van betrokkenen en voldoe je aan de wettelijke verplichtingen. Zorg ervoor dat de genoemde verplichtingen en getroffen technische en organisatorische beveilingsmaatregelen duidelijk in de overeenkomst staan.

Vergeet niet om ook aandacht te besteden aan subverwerkers en zorg dat zij aan dezelfde regels voldoen. Door de juiste stappen te volgen, kun je een solide verwerkersovereenkomst maken die voldoet aan alle eisen. De volgende onderwerpen kunnen je hierbij helpen: het verwerkingsregister, bewaartermijnen, en de controle op naleving.

Overeenkomst
Lajea van der Willik

Geschreven door:

Lajea van der Willik

Dankzij mijn uitgebreide ervaring binnen HR, specialiseer ik mij in het vertalen van complexe HR-thema's naar toegankelijke en toepasbare content. Als deskundige in contentmarketing, ondersteun ik organisaties bij het optimaliseren van hun personeelsstrategieën en het inspireren van hun teams. Het is mijn missie om lezers te voorzien van de kennis die ze nodig hebben om hun werkomgeving te verbeteren.

Disclaimer

Let op: de informatie op onze website is bedoeld voor algemene informatieve doeleinden en niet als bindend advies. De informatie op onze website kan niet worden beschouwd als vervanging voor juridisch en bindend advies voor een specifieke situatie. Ondanks onze research, bieden wij geen garantie voor de nauwkeurigheid, volledigheid en actualiteit van de informatie op onze website. Wij zijn niet aansprakelijk voor enige schade of verlies dat voortvloeit uit het gebruik van de informatie op onze website.

Wil jij ook je HR processen vereenvoudigen?

14 dagen testen, gratis support

  • Eenvoudige personeelsplanning
  • Overzichtelijke urenregistratie
  • Makkelijke verlofregistratie
Use Shiftbase on mobile