Onder de Wet bescherming persoonsgegevens is en was het al verplicht om een bewerkersovereenkomst te hebben tussen de verantwoordelijke en de bewerker. Onder de nieuwe privacywetgeving (AVG) blijft deze plicht bestaan, maar zijn zowel de verwerker én de verantwoordelijke (gezamenlijk) verplicht en ook aansprakelijk om zorg te dragen voor een verwerkersovereenkomst. Zowel de verwerker als de verantwoordelijke worden onder de AVG ook beiden aansprakelijk voor het naleven van deze verplicht tot het sluiten van een dergelijke overeenkomst.
Waarom een verwerkersovereenkomst
Onder de AVG heeft de verwerker meer verantwoordelijkheden dan onder de eerdere privacywetgeving (Wet bescherming persoonsgegevens). Een persoon wiens persoonsgegevens verwerkt wordt, kan onder de AVG ook de verwerker aansprakelijk stellen voor de schade die hij of zij mocht lijden.
Artikel 82 van de AVG bepaalt:
“Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.”
Het woordje ‘slechts’ verbloemt het risico voor de verwerker. De verwerker is namelijk aansprakelijk indien hij de op hem rustende verplichtingen niet nakomt. Artikel 28 lid 3 bepaalt namelijk:
“De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.”
De verwerker is dus verplicht om met de verantwoordelijke een verwerkersovereenkomst te sluiten. Artikel 82 stelt weer dat indien de verwerker de aan hem of haar gerichte verplichtingen niet nakomt, de verwerker daar aansprakelijk voor is. Alleen al om te voorkomen dat men aansprakelijk wordt gesteld is het van belang duidelijke afspraken te maken over het verwerken van persoonsgegevens.
Wanneer een verwerkersovereenkomst?
Kort gezegd moet er een verwerkersovereenkomst worden gesloten indien de verantwoordelijke persoonsgegevens door een derde laat verwerken. In de AVG wordt gesteld dat onder Verwerken het volgende wordt verstaan:
“Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;”
Er is dus al snel sprake van verwerking onder de AVG. Op het moment dat een verantwoordelijke dus persoonsgegevens laat verwerken bij een derde, is een verwerkersovereenkomst verplicht. Voorbeelden zijn:
- Opslaan van persoonsgegeven in een CRM systeem van een derde;
- Opslaan van persoonsgegevens bij een hostingpartij;
- Verwerken van de salarisadministratie in een cloud oplossing;
- Etc.
Wat staat er in een verwerkersovereenkomst?
In de verwerkersovereenkomst staat welke verplichtingen de verwerker heeft richting de verantwoordelijke met betrekking tot de verwerking van de persoonsgegevens. Het belangrijkste is dat de verantwoordelijke bepaalt op welke wijze de persoonsgegevens verwerkt gaan worden. Zodra de verwerker dit zelf, in tegenstelling tot de verantwoordelijke gaat bepalen wordt hij krachtens de AVG zélf als verantwoordelijke gezien.
Artikel 28 van de AVG geeft aan wat er in ieder geval in een de overeenkomst dient te staan. Zo is het van belang om aan te geven welke technische en organisatorische maatregelen er getroffen zijn om de persoonsgegevens te beveiligen. Daarnaast is het ook van belang om bepalingen op te nemen over de door de verwerker ingeschakelde subverwerkers.
Verwerkersovereenkomst en cloudsoftware
Indien u binnen uw onderneming gebruik maakt van cloudsoftware, dan zult u al snel persoonsgegevens laten verwerken door een derde. In dat geval bent u dus verplicht om een verwerkersovereenkomst te sluiten met de betreffende softwareleverancier.
In beginsel zullen de meeste software leverancier zich realiseren dat zij verplicht zijn een dergelijke overeenkomst af te sluiten en zullen zij u benaderen. Mochten zij het echter nalaten om met u als klant een dergelijke overeenkomst te sluiten, ontslaat u dat niet van uw verantwoordelijkheid en aansprakelijkheid onder de AVG.
Verwerkersovereenkomst laten opstellen
Bij Quest Advocaten krijgt u een geheel op maat gemaakte verwerkersovereenkomst voor een vooraf vastgesteld bedrag. Zo weet u precies waar u aan toe bent.
Schakel dus een privacyrecht advocaat in voor het opstellen van uw verwerkersovereenkomst. Op die manier weet u zeker dat uw onderneming voldoet aan de eisen van de AVG en is de verwerkersovereenkomst ook afgestemd op uw dienstverlening.
Heeft u een vraag over het opstellen van een verwerkersovereenkomst of een andere privacy gerelateerde vraag? Stel deze direct via het onderstaande formulier of bel geheel vrijblijvend: 020 – 623 45 77.
Neem vrijblijvend contact met ons op.