De verwerkersovereenkomst is de overeenkomst tussen de verantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan.
Geen paniek. We hebben al een overeenkomst voor je klaar staan. Dat scheelt weer een hoop gedoe!
Je kunt bijna niet meer om de AVG heen. Deze keer praat ik je bij over de verwerkersovereenkomst. Belangrijk omdat deze overeenkomst al snel verplicht is. Het is belangrijk, maar vaak taaie informatie, maar geen nood we hebben ook direct een handige en pragmatische oplossing.
Wat is een verwerkersovereenkomst?
In de AVG wordt gesproken over een verwerkersovereenkomst. Dit kan je bekend klinken, in de Wbp (Wet bescherming persoonsgegevens) heette dit namelijk een bewerkersovereenkomst. Met de komst van de Europese Privacyverordening zijn de begrippen ‘bewerker’ en ‘bewerkersovereenkomst’ hernoemd naar ‘verwerker’ en ‘verwerkersovereenkomst’.
Wat houdt een verwerkersovereenkomst in?
De verwerkersovereenkomst is de overeenkomst tussen de verantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Voorbeeld: een bedrijf (verantwoordelijke) en een salarisadministratiekantoor (verwerker) moeten een schriftelijke overeenkomst met elkaar aangaan omdat het bedrijf persoonsgegevens van zijn werknemers bijhoudt voor de salarisadministratie. De verantwoordelijkheid dat deze overeenkomst afgesloten wordt, ligt bij de verantwoordelijke (in dit voorbeeld het bedrijf).
Wanneer is een verwerkersovereenkomst nodig?
Als een verantwoordelijke persoonsgegevens laat verwerken door een verwerker, dan is een verwerkersovereenkomst tussen de partijen verplicht. Steeds wanneer een verantwoordelijke het verwerken van (een deel van de) persoonsgegevens uitbesteedt, is een schriftelijke overeenkomst vereist. Van verwerken van persoonsgegevens is al snel sprake: het inzien van de gegevens door een externe partij is al een verwerking.
Is het echt nodig om een verwerkersovereenkomst te hebben?
Ja, het is wettelijk verplicht om een verwerkersovereenkomst te hebben. Heb je dit niet, dan kunnen er sancties opgelegd worden. Daarom is het van belang dat je voor 25 mei 2018 beschikt over een verwerkersovereenkomst.
Wie is de ‘verantwoordelijke’ in de verwerkersovereenkomst?
De verantwoordelijke (controller) is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. Denk aan het voorbeeld van een bedrijf dat de persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). De verantwoordelijke (in dit voorbeeld het bedrijf) kan dit alleen doen of samen met anderen (zoals het salarisadministratiekantoor). Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:
De betrokkene (data subject) is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben (bijvoorbeeld werknemer X).
Wie is de ‘verwerker’ in de verwerkersovereenkomst?
Een verwerker (processor) is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. In bovengenoemd voorbeeld zou een salarisadministratiekantoor, dat voor het bedrijf de salarisadministratie afhandelt, de verwerker zijn. In jullie geval is dat vaak de softwareleverancier voor je patiëntadministratie en is Phytalis dat voor (online) marketing activiteiten.
Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. De verwerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.
Wat is een persoonsgegeven?
Een persoonsgegeven is een gegeven aan de hand waarvan een natuurlijk persoon kan worden geïdentificeerd. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens.
Voorbeelden van een persoonsgegeven: naam- en adresgegevens, e-mailadressen, pasfoto’s, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens.
Onderwerpen in een verwerkersovereenkomst
De AVG stelt dat in een verwerkersovereenkomst de volgende zaken in ieder geval vermeld moeten zijn:
We hebben al een verwerkersovereenkomst opgesteld
We hebben voor onze activiteiten al een verwerkersovereenkomst opgesteld. Deze overeenkomst vind je via de knop naar de overeenkomst hieronder. Dat scheelt weer een hoop gedoe.
Online marketing kent vele vaktermen. Vaak in het Engels, maar niet altijd direct duidelijk wat ze betekenen. Voor Phytalis is online marketing eenvoudig meer klanten en meer omzet. Bekijk eens onze kennisbank.
Met Phytalis webservices heb je dé partner op het gebied van online aanwezigheid. Altijd veilig en heel gemakkelijk bij te houden. Invoegen van (exteren) software geen probleem. Zonder enige kennis van websites, bouw je toch alles zelf of samen met Phytalis.
We hebben heel veel in huis, maar wat is nu echt het voordeel voor jouw persoonlijke situatie. Dat willen wij graag weten. Omdat elke situatie anders is, stellen we graag persoonlijk contact erg op prijs. Even vrijblijvend bellen?
Geestbrugkade 35
2281 CX Rijswijk