De verwerkersovereenkomst

In deze AVG-reeks brengen wij u in vogelvlucht op de hoogte van de belangrijkste verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Worden in uw bedrijf op enig moment gegevens van natuurlijke personen vastgelegd, bijvoorbeeld omdat u werkgever bent, u een (online) winkel heeft of omdat u cliënten/klanten bedient? In dat geval verwerkt u persoonsgegevens en heeft u op grond van de privacywetgeving verschillende verplichtingen. In deze blog wordt de verwerkersovereenkomst besproken en de omstandigheden waaronder het afsluiten van een dergelijke overeenkomst is verplicht.

De AVG verplicht de verwerkingsverantwoordelijke uitsluitend samen te werken met verwerkers die ervoor hebben gezorgd dat ze zodanige maatregelen hebben genomen dat de verwerking voldoet aan de vereisten van de AVG en gedurende de verwerkingen de rechten van de betrokkenen worden beschermd. Met deze partij wordt een verwerkersovereenkomst afgesloten.

Verwerkingsverantwoordelijke vs. verwerker

In de eerste blog is uitgelegd dat een verwerkingsverantwoordelijke degene is die bepaalt wélke gegevens worden verwerkt en wáárom de gegevens worden verwerkt (ook wel: het doel van en de middelen voor de verwerking).

Een werkgever bepaalt bijvoorbeeld dat de contact- en bankgegevens van een werknemer worden verwerkt, zodat de werkgever het salaris kan uitbetalen.

Een verwerker is de partij die persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke.

De werkgever maakt bijvoorbeeld gebruik van software om de persoonsgegevens van de werknemers te verwerken en de betalingen van de salarissen geautomatiseerd te laten verlopen. Deze software wordt over het algemeen ontwikkeld en beheerd door een derde partij. Deze wordt aangemerkt als verwerker. Die partij bepaalt namelijk niet het doel van en middelen voor de verwerking, maar faciliteert slechts een middel voor de verwerking.

Op het moment dat een verwerkingsverantwoordelijke gebruik maakt van een verwerker, dan dient een verwerkersovereenkomst te worden afgesloten.

Verwerkingsverantwoordelijke vs. verwerkingsverantwoordelijke

Indien een werkgever persoonsgegevens verstrekt aan een derde partij die de persoonsgegevens verwerkt ten behoeve van haar eigen doel en met behulp van eigen middelen dan is deze partij ook een verwerkingsverantwoordelijke.

Een werkgever is bijvoorbeeld verplicht salarisgegevens te verstrekken aan de Belastingdienst. Die heeft haar eigen redenen om de gegevens te verwerken.

Met een andere verwerkingsverantwoordelijke wordt geen verwerkersovereenkomst gesloten.

Verwerkingsverantwoordelijke vs. verwerker én verwerkingsverantwoordelijke

Het kan voorkomen dat een derde partij zowel de functie van verwerker als verwerkingsverantwoordelijke ten aanzien van dezelfde persoonsgegevens kan aannemen.

Dit is bijvoorbeeld het geval voor een accountant. Afhankelijk van het soort opdracht dat wordt uitgevoerd, vervult de accountant de rol van verwerker of verwerkingsverantwoordelijke.

Voor de opdrachten c.q. situaties waarin de accountant optreedt als verwerker voor de verwerkingsverantwoordelijke zal een verwerkersovereenkomst moeten worden afgesloten.

Inhoud van de verwerkersovereenkomst

In de AVG staat aangegeven welke afspraken tussen een verwerkingsverantwoordelijke en verwerker in de verwerkersovereenkomst moeten worden opgenomen. Zo mag een verwerker persoonsgegevens alleen verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, moet de verwerker waarborgen dat haar personeel die de persoonsgegevens verwerkt vertrouwelijkheid in acht neemt en dient de verwerker de verwerkingsverantwoordelijke te ondersteunen bij bijvoorbeeld het beantwoorden van verzoeken van betrokkenen (zie voor meer informatie over rechten van betrokkenen deze blog).

Sub-verwerker

Een verwerker mag op zijn beurt geen andere verwerker (een sub-verwerker) in dienst nemen zonder toestemming van de verwerkingsverantwoordelijke.

In overeenkomsten die worden aangeboden door een verwerker staat vaak dat deze het recht heeft een sub-verwerker in dienst te nemen. Het is af te raden om als verwerkingsverantwoordelijke akkoord te gaan met een dergelijke bepaling. Een verwerkingsverantwoordelijke blijft namelijk altijd eindverantwoordelijk voor de verwerking van persoonsgegevens door de (sub)verwerker. Neemt een verwerker een sub-verwerker in dienst die gegevens verwerkt op een wijze die niet conform de AVG is dan is de verwerkingsverantwoordelijke daarvoor aansprakelijk.

Tot slot

Met deze blog hebben wij u een beknopte toelichting willen geven over de verwerkersovereenkomst. Het is aan te raden een overzicht te maken van alle partijen waarmee uw bedrijf persoonsgegevens uitwisselt en te bepalen welke van deze partijen kwalificeren als verwerkingsverantwoordelijke en welke als verwerker. Met de laatste groep dient een verwerkersovereenkomst te worden afgesloten.

Heeft u vragen over (het opstellen of beoordelen van) een verwerkersovereenkomst en/of de AVG? Wij beantwoorden deze graag. Neem in dat geval contact op onze sectie Privacyrecht.