3 belangrijke checks om te controleren of jouw verwerkersovereenkomst voldoet aan de AVG

Voldoet jouw bedrijf aan de AVG?

Blog verwerkersovereenkomst avg

Als ondernemer besteed je waarschijnlijk verschillende zaken uit aan externe partijen. De hosting van je website wordt bijvoorbeeld geregeld door een webhostingsbedrijf. Op het moment dat een externe partij namens jou persoonsgegevens verwerkt, moeten hierover afspraken worden gemaakt. In het algemeen worden deze afspraken schriftelijk vastgelegd in een verwerkersovereenkomst maar er zijn ook andere vormen mogelijk.

De verwerkersovereenkomst volgens de AVG

Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf een externe partij inschakelt voor de verwerking hiervan. Dit is op zich niet iets nieuws, want de voorloper van de AVG, de Wet bescherming persoonsgegevens, stelde al een bewerkersovereenkomst verplicht.

Toch zijn een verwerkersovereenkomst en een bewerkersovereenkomst niet hetzelfde. In een verwerkersovereenkomst dient bijvoorbeeld het doel van de verwerking opgenomen te worden, maar ook welke passende maatregelen door de externe partij worden getroffen.

3 Checks voor je verwerkersovereenkomst

Het is belangrijk is om zaken rondom het uitbesteden van de verwerking van persoonsgegevens goed te regelen. Maar hoe weet je nu of jouw verwerkersovereenkomst wel voldoet aan de AVG? Dit zijn 3 belangrijke checks:

1. Heb je met de juiste partijen een verwerkersovereenkomst afgesloten?

Er kan onduidelijkheid zijn over met wie je een verwerkersovereenkomst moet afsluiten, maar het komt in de praktijk ook voor dat een verwerkersovereenkomst worden afgesloten, terwijl de andere partij helemaal geen verwerker is.

Je hebt een verwerkersovereenkomst nodig wanneer je persoonsgegevens laat verwerken door een derde partij. Dit kunnen gegevens van je klanten zijn, maar ook van je personeel. Mocht je dit uitbesteden aan een dochteronderneming van je eigen bedrijf, dan geldt dit nog steeds.

Andersom geldt uiteraard ook: wanneer een bedrijf persoonsgegevens laat verwerken door jouw onderneming, is het eveneens nodig om een verwerkersovereenkomst aan te gaan.

Onthoud echter dat je met de volgende partijen GEEN verwerkersovereenkomst afsluit:

  • Eigen personeel
  • Inhuurkrachten en vrijwilligers (wanneer deze werkzaamheden verrichten als ‘gewone’ werknemers)
  • De personen van wie je de persoonsgegevens verwerkt
  • Bedrijven die geen verwerker zijn, maar zelf verwerkingsverantwoordelijk zijn (denk hierbij bijvoorbeeld aan bedrijven die contactgegevens van jouw medewerkers opslaan in hun CRM-systeem, maar de Belastingdienst, banken en verzekeringsbedrijven).

2. Staat de juiste informatie in de verwerkingsovereenkomst?

In een verwerkersovereenkomst worden afspraken vastgelegd met betrekking tot de verwerking van persoonsgegevens door een andere partij dan jouw organisatie. Dit zijn de onderwerpen die hier zeker in op moeten worden genomen:

  • Wat het doel is van de verwerking
  • Op welke manier deze verwerking plaatsvindt
  • Waar de gegevens worden bewaard
  • Afspraken over eventuele andere partijen
  • Of er geheimhouding geldt
  • Hoe de gegevens worden beveiligd
  • Wat de duur van de verwerking is
  • Hoe te handelen bij een datalek
  • Afspraken over aansprakelijkheid
  • Afspraken over audits

3. Is de verwerkersovereenkomst in samenspraak opgesteld?

Een verwerkersovereenkomst dient in samenspraak met de andere partij te worden opgesteld. Hiermee houd je zelf de regie in handen en kom je – zoals wanneer je de overeenkomst door de andere partij zou laten opstellen – wellicht niet voor vervelende verrassingen achteraf te staan.

Uiteraard kan het geen kwaad om je bij het opstellen van een verwerkersovereenkomst te laten adviseren door een juridisch specialist op dit gebied. Bol Adviseurs heeft deze expertise in huis en onze adviseurs kijken dan ook graag met je mee. Met al je vragen over de AVG kun je bij ons terecht.

Voldoet jouw bedrijf aan de AVG?

Wil je weten of jouw bedrijf voldoet aan de AVG? Vul geheel vrijblijvend de AVG Risico Scan in en kom erachter of jouw bedrijf nog risico's loopt.

Start de gratis AVG Risico Scan »

10 december 2018
Doe de AVG Risico Scan