KENNISMAKEN

De verwerkersovereenkomst

Dat bedrijven de privacy van persoonsgegevens moeten waarborgen is niets nieuws. Toch zijn veel ondernemers niet bekend met verwerkersovereenkomsten. Een verwerkersovereenkomst is verplicht in situaties waarin jij een externe partij inschakelt om persoonsgegevens voor jou te verwerken. In deze blog leg ik je uit wat een verwerkersovereenkomst is, wanneer deze verplicht is én wie hier voor verantwoordelijk is.

Wat is een verwerkersovereenkomst?

De verwerkersovereenkomst regelt de voorwaarden voor de verwerking van de persoonsgegevens door een externe partij. De verwerkersovereenkomst moet in schriftelijke vorm zijn opgesteld (dat mag ook elektronisch zijn, zoals vaak het geval is bij online dienstverlening). Een mondelinge overeenkomst is dus onvoldoende.

In een verwerkersovereenkomsten moeten onder meer de volgende onderwerpen aan bod komen:

  1. Het onderwerp en de duur van de gegevensverwerking;
  2. De aard en de doeleinden van de gegevensverwerking;
  3. Het soort persoonsgegevens dat verwerkt wordt;
  4. De categorieën van betrokkenen;
  5. Geheimhoudingsplicht;
  6. De taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking (bijvoorbeeld de beveiliging van de persoonsgegevens);
  7. Het risico in verband met de rechten en vrijheden van betrokkenen.

Door duidelijke afspraken te maken over de verwerking van de persoonsgegevens helpt de verwerkersovereenkomst bij het minimaliseren van risico’s en het waarborgen van de privacy van (onder andere) jouw klanten.

Is een verwerkersovereenkomst verplicht?

Ja. Indien een externe partij persoonsgegevens voor jou verwerkt, is het verplicht om een verwerkersovereenkomst af te sluiten op grond van de AVG.

Maar wanneer worden nu eigenlijk persoonsgegevens verwerkt door een externe partij? Dat is al heel snel het geval. Hieronder noem ik twee voorbeelden:

  • Voorbeeld 1: jij bent fotograaf en je maakt regelmatig portretfoto’s van jouw klanten. Je slaat deze foto’s op in een digitale dataset. De digitale dataset ontvangt de foto’s (persoonsgegevens) en is hiermee de verwerker van de persoonsgegevens. Er dient dus tussen jou en de digitale dataset een verwerkersovereenkomst te worden afgesloten.
  • Voorbeeld 2: je hebt een externe boekhouder ingeschakeld die financiële gegevens ontvangt van jouw klanten. Die financiële gegevens bestaan onder meer uit namen, adressen en betaalgegevens (persoonsgegevens). Jouw boekhouder is daarmee de verwerker van de persoonsgegevens en er dient tussen jullie een verwerkersovereenkomst te worden afgesloten.

Wie is er verantwoordelijk om een verwerkersovereenkomst af te sluiten?

Zowel de verwerker als de verwerkingsverantwoordelijke hebben de verplichting om een verwerkersovereenkomst af te sluiten. Beide partijen zijn aansprakelijk als een verwerkersovereenkomst ontbreekt.

Heb jij nog geen verwerkersovereenkomst(en) afgesloten? Ik kijk graag met je mee of je deze nodig hebt. Stuur mij een mailtje via info@bo-nafide.nl.

Gerlateerde berichten

Verwerken van bijzondere persoonsgegevens

Lees meer

Schoonheidssalon: 290-bedrijfsruimte of 230a-bedrijfsruimte?

Lees meer

De verwerkersovereenkomst

Lees meer