In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de "Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.
In dit blog: wat moet er minimaal in een verwerkersovereenkomst staan (nummer 1)?
Een verwerkersovereenkomst is een overeenkomst die wordt gesloten met “verwerkers”. De Algemene Verordening Gegevensbescherming schrijft voor wat er minimaal in zo'n verwerkersovereenkomst moet worden opgenomen.
Als uw organisatie is aan te merken als verantwoordelijke en handelingen met persoonsgegevens (denk bij "handelingen" aan opslaan, inzien, aanpassen, verwijderen, doorsturen e.d.) uitbesteedt aan een externe leverancier of dienstverlener, dan is zo´n externe leverancier of dienstverlener aan te merken als een verwerker. In de oude privacywet, de Wet bescherming persoonsgegevens wordt dit "bewerker" genoemd.
De verwerker mag alleen handelingen met de persoonsgegevens verrichten in opdracht van uw organisatie en dit niet voor eigen doeleinden doen.
Veel voorkomende voorbeelden van uitbesteding van persoonsgegevens aan een verwerker zijn:
o Hosting en/of beheer van een website / applicatie / IT omgeving
o Het plaatsen van persoonsgegevens in de cloud
o Outsourcing aan een IT bedrijf
o Callcenters die consumenten bellen
o Salarisverwerkingsbureaus die salarissen verwerken
o Mediabureaus die commerciële mailings sturen
o Externe klantenservice
o Onderaannemers of dienstverleners aan wie een administratie, bijvoorbeeld financiële administratie of personeelsadministratie, is geoutsourced.
Dit is relevant omdat uw organisatie bij uitbesteding aan een verwerker moet weten wat er met de persoonsgegevens gebeurt.
Uw organisatie is namelijk verantwoordelijk en aansprakelijk voor het naleven van de privacywetgeving door de verwerker. Als er bij de verwerker bijvoorbeeld een datalek is, dan is uw organisatie degene die het datalek moet melden aan de toezichthouder, de Autoriteit Persoonsgegevens.
Daarom schrijft de AVG voor dat er een overeenkomst moet worden gesloten met de verwerker om afspraken te maken over wat de verwerker met de persoonsgegevens mag en moet doen.
De AVG schrijft, in artikel 28, voor dat alleen verwerker mogen worden ingehuurd die voldoende garanties kunnen geven dat zij "passende technische en organisatorische maatregelen" hebben genomen om te zorgen dat wordt voldaan aan de verplichtingen uit de AVG, en ook om te zorgen dat de rechten van de personen wiens persoonsgegevens worden verwerkt, worden gewaarborgd.
In artikel 28 staat verder dat er met de verwerker een verwerkersovereenkomst moet worden gesloten die minimaal de volgende bepalingen moet omvatten:
In de overeenkomst moet worden aangegeven:
o een omschrijving van de verwerking;
o hoe lang de verwerking duurt;
o wat de aard is en het doel van de verwerking;
o het soort persoonsgegevens en de categorieën betrokken personen wiens persoonsgegevens worden verwerkt.
Als de verwerker handelingen met de persoonsgegevens uitbesteedt aan andere verwerkers (sub-verwerkers), dit zijn meestal onderaannemers of leveranciers van de verwerker, dan moet uw organisatie daarvoor voorafgaande specifieke of algemene toestemming geven.
Als er algemene toestemming wordt gegeven moet de verwerker wijzigingen van sub-verwerkers melden aan uw organisatie en uw organisatie de mogelijkheid geven bezwaar te maken.
De verwerker moet ingehuurde sub-verwerkers dezelfde minimale verplichtingen opleggen als de in deze lijst opgesomde verplichtingen die uw organisatie aan de verwerker moet opleggen.
De verwerker mag alleen maar handelingen met de persoonsgegevens verrichten in opdracht van uw organisatie. Dat wil zeggen: de verwerker mag alleen die handelingen verrichten die noodzakelijk zijn voor het uitvoeren van de diensten die de verwerker voor uw organisatie verricht. De verwerker mag niet zelfstandig bepalen wat er met de persoonsgegevens gebeurt.
Als het bijvoorbeeld gaat om een hosting partij, dan zal deze partij de persoonsgegevens alleen mogen opslaan en deze incidenteel, als dat echt noodzakelijk is, voor beheerdoeleinden in mogen zien. Zo’n partij mag die gegevens bijvoorbeeld niet zelf gaan analyseren of ze zelf aanpassen.
Als het bijvoorbeeld gaat om een marketingbureau dat e-mails verstuurt naar uw klantendatabase, dan zal het marketingbureau de e-mailadressen alleen mogen gebruiken voor het versturen van die e-mails en deze niet bijvoorbeeld aan andere klanten verstrekken of e-mails van andere klanten sturen naar de e-mailadressen in die database.
Het betekent ook dat de verwerker de persoonsgegevens niet zonder toestemming van uw organisatie mag doorgeven aan andere partijen. De enige uitzondering daarop is als de verwerker op grond van een Europeesrechtelijke wettelijke verplichting verplicht wordt de persoonsgegevens af te staan, meestal zal dit zijn aan een overheidsinstantie.
Het beveiligen van de persoonsgegevens is één van de belangrijkste taken van de verwerker. In de verwerkersovereenkomst moet staan dat de verwerker “passende technische en organisatorische maatregelen” neemt om de persoonsgegevens te beveiligen. De Autoriteit Persoonsgegevens stelt daarbij als eis dat de beveiligingsmaatregelen ook worden omschreven in de Verwerkersovereenkomst.
De verwerker moet ervoor zorgen dat de personen die de persoonsgegevens onder toezicht van de verwerker verwerken, verplicht zijn tot geheimhouding van die persoonsgegevens, ofwel door middel van afspraken met de verantwoordelijke ofwel op basis van een beroepsmatige geheimhoudingsplicht.
In de overeenkomst moet staan dat de verwerker uw organisatie door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, assisteert bij het beantwoorden van verzoeken van de personen om wiens gegevens het gaat, bij het beveiligen van de persoonsgegevens, het melden van datalekken, het uitvoeren van PIA´s en (wanneer dat nodig is) voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
De verwerker mag daarbij rekening houden met de aard van de verwerking en de informatie die de bewerker ter beschikking staat.
Na het einde van de dienstverlening door de verwerker moet deze de persoonsgegevens wissen of de persoonsgegevens aan de uw organisatie teruggeven en bestaande kopieën verwijderen.
De verwerker moet audits toestaan en informatie aan uw organisatie geven zodat uw orgaisatie na kan gaan of de verwerker de verplichtingen uit de bewerkersovereenkomst nakomt.
De AVG bepaalt niet dat er afspraken moeten worden gemaakt over de kosten die de verwerker moet maken om te voldoen aan de bepalingen in de overeenkomst. Het is wel aan te raden dit te doen, om achteraf discussies over de kosten te voorkomen.
Nee, strikt genomen hoeven de afspraken niet in een aparte verwerkersovereenkomst staan. Ze kunnen bijvoorbeeld ook in algemene voorwaarden staan of in een dienstverleningsovereenkomst.
Toch is het wel aan te raden om de afspraken vast te leggen in een aparte overeenkomst omdat:
Per 25 mei 2018 zullen verwerkersovereenkomsten minimaal de hierboven genoemde bepalingen moeten bevatten. Bestaande verwerkersovereenkomsten kunnen worden gescreend om na te gaan of de genoemde bepalingen erin staan en, waar nodig, worden aangevuld met een wijziging van de overeenkomst. Bij nieuwe uitbestedingen kunnen nieuwe "AVG verwerkersovereenkomsten" worden gebruikt.
Zelf een AVG verwerkersovereenkomst maken?
Onze verwerkersovereenkomst generatoren:
Verwerkersovereenkomst dienstverleners AVG
Verwerkersovereenkomst Hosting
Verwerkersovereenkomst ZZP-ers
In deze serie blog:
1. Verwerkersovereenkomsten uitbreiden
2. Nieuwe regels over gegevens van kinderen
3. Datamap aanleggen
4. Toestemmingseisen worden strenger
5. Regels over profilering
6. Soms is een Privacy Impact Assessment (PIA) verplicht
7. Soms is een Functionaris Gegevensbescherming (FG) verplicht
8. Het recht op "dataportabiliteit"
9. Waar mogelijk "privacy by design" en "privacy by default" toepassen
10. Privacyverklaring moet uitgebreider
Versturen