AVG-Verwerkersovereenkomst

Samengevat

De verwerkersovereenkomst  is de overeenkomst tussen de verantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. 

Geen paniek. We hebben al een overeenkomst voor je klaar  staan. Dat scheelt weer een hoop gedoe!

Je kunt bijna niet meer om de AVG heen. Deze keer praat ik je bij over de verwerkersovereenkomst. Belangrijk omdat deze overeenkomst al snel verplicht is. Het is belangrijk, maar vaak taaie informatie, maar geen nood we hebben ook direct een handige en pragmatische oplossing.

Is dit echt nodig? Ja, maar geen paniek!

Wat is een verwerkersovereenkomst?
In de AVG wordt gesproken over een verwerkersovereenkomst. Dit kan je bekend klinken, in de Wbp (Wet bescherming persoonsgegevens) heette dit namelijk een bewerkersovereenkomst. Met de komst van de Europese Privacyverordening zijn de begrippen ‘bewerker’ en ‘bewerkersovereenkomst’ hernoemd naar ‘verwerker’ en ‘verwerkersovereenkomst’.

Wat houdt een verwerkersovereenkomst in?
De verwerkersovereenkomst is de overeenkomst tussen de verantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Voorbeeld: een bedrijf (verantwoordelijke) en een salarisadministratiekantoor (verwerker) moeten een schriftelijke overeenkomst met elkaar aangaan omdat het bedrijf persoonsgegevens van zijn werknemers bijhoudt voor de salarisadministratie. De verantwoordelijkheid dat deze overeenkomst afgesloten wordt, ligt bij de verantwoordelijke (in dit voorbeeld het bedrijf).

Wanneer is een verwerkersovereenkomst nodig?
Als een verantwoordelijke persoonsgegevens laat verwerken door een verwerker, dan is een verwerkersovereenkomst tussen de partijen verplicht. Steeds wanneer een verantwoordelijke het verwerken van (een deel van de) persoonsgegevens uitbesteedt, is een schriftelijke overeenkomst vereist. Van verwerken van persoonsgegevens is al snel sprake: het inzien van de gegevens door een externe partij is al een verwerking.

Is het echt nodig om een verwerkersovereenkomst te hebben?
Ja, het is wettelijk verplicht om een verwerkersovereenkomst te hebben. Heb je dit niet, dan kunnen er sancties opgelegd worden. Daarom is het van belang dat je voor 25 mei 2018 beschikt over een verwerkersovereenkomst.

Wie is de ‘verantwoordelijke’ in de verwerkersovereenkomst?
De verantwoordelijke (controller) is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. Denk aan het voorbeeld van een bedrijf dat de persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). De verantwoordelijke (in dit voorbeeld het bedrijf) kan dit alleen doen of samen met anderen (zoals het salarisadministratiekantoor). Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

  • om welke verwerking het gaat;
  • welke persoonsgegevens het bedrijf hierbij verwerkt;
  • voor welk doel het bedrijf dit doet;
  • op welke manier het bedrijf dit doet.
  • Wie is de ‘betrokkene’ in de verwerkersovereenkomst?

De betrokkene (data subject) is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben (bijvoorbeeld werknemer X).

 Wie is de ‘verwerker’ in de verwerkersovereenkomst?
Een verwerker (processor) is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. In bovengenoemd voorbeeld zou een salarisadministratiekantoor, dat voor het bedrijf de salarisadministratie afhandelt, de verwerker zijn. In jullie geval is dat vaak de softwareleverancier voor je patiëntadministratie en is Phytalis dat voor (online) marketing activiteiten.

Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. De verwerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

Wat is een persoonsgegeven?
Een persoonsgegeven is een gegeven aan de hand waarvan een natuurlijk persoon kan worden geïdentificeerd. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens.

Voorbeelden van een persoonsgegeven: naam- en adresgegevens, e-mailadressen, pasfoto’s, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens.

Onderwerpen in een verwerkersovereenkomst
De AVG stelt dat in een verwerkersovereenkomst de volgende zaken in ieder geval vermeld moeten zijn:

  • de duur van de verwerking (denk ook aan het verwijderen van de gegevens aan het einde van de opdracht);
  • de aard en de doeleinden van de verwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de specifieke taken en verantwoordelijkheden van de verwerker en het risico in verband met de rechten en bevoegdheden van de betrokkenen;
  • de voorafgaande toestemming van de verantwoordelijke voor het inschakelen van subverwerkers;
  • het waarborgen van vertrouwelijkheid;
  • hoe persoonsgegevens beveiligd zijn;
  • hoe het ter beschikking stellen van informatie aan de verantwoordelijke in het kader van audits is geregeld.

We hebben al een verwerkersovereenkomst opgesteld
We hebben voor onze activiteiten al een verwerkersovereenkomst opgesteld. Deze overeenkomst vind je via de knop naar de overeenkomst hieronder. Dat scheelt weer een hoop gedoe.

Online marketing

Online marketing kent vele vaktermen. Vaak in het Engels, maar niet altijd direct duidelijk wat ze betekenen. Via de kennisbank van Phytalis leggen we de termen kort en eenvoudig uit.

Aanmelden voor nieuwsbrief

We houden je graag op de hoogte. Lekker gemakkelijk via onze gratis nieuwsbrief

Aanmelden
Contact

Geestbrugkade 35
2281 CX  Rijswijk

070-3206157
marcom@phytalis.nl
www.phytalis.nl