Verwerkersovereenkomst

Een Verwerkersovereenkomst is een schriftelijke overeenkomst tussen een organisatie (de verwerkingsverantwoordelijke) en een externe partij (de verwerker) die namens die organisatie persoonsgegevens verwerkt. Onder de Algemene Verordening Gegevensbescherming (AVG) is deze overeenkomst verplicht zodra je persoonsgegevens laat verwerken door een derde partij. Denk hierbij aan situaties zoals het uitbesteden van salarisadministratie, cloud-hosting of marketingdiensten. 

Het doel van een verwerkersovereenkomst is om afspraken vast te leggen over hoe persoonsgegevens veilig en zorgvuldig worden verwerkt, zodat de privacyrechten van betrokkenen worden beschermd volgens de AVG-regels. 

Waarom is een Avg verwerkersovereenkomst verplicht?

Volgens de AVG moeten verwerkingsverantwoordelijken en verwerkers duidelijke afspraken maken over de verwerking van persoonsgegevens. Deze verplichting staat expliciet in artikel 28 van de AVG. 

Zonder een Avg verwerkersovereenkomst kun je als organisatie niet aantonen dat je voldoet aan de AVG-eisen. Ontbreekt zo’n overeenkomst terwijl deze wel nodig is, dan loop je risico op boetes van de Autoriteit Persoonsgegevens en andere juridische problemen. Zowel de verwerkingsverantwoordelijke als de verwerker zijn aansprakelijk als er geen geldige overeenkomst is. 

Wie moet een verwerkersovereenkomst afsluiten?

Iedere organisatie die persoonsgegevens door een externe partij laat verwerken moet een Avg verwerkersovereenkomst afsluiten. Dit geldt voor bijvoorbeeld:

• ICT-dienstverleners die data beheren;
• Cloud-opslagproviders;
• Salaris- of administratiekantoren;
• Marketing- en e-maildiensten. 

De verwerkingsverantwoordelijke is primair verantwoordelijk voor het zorgen dat de overeenkomst aanwezig is. Soms levert de verwerker een eigen contract aan; anders kan de verwerkingsverantwoordelijke dit zelf opstellen. 

Wat moet er in een Avg verwerkersovereenkomst staan?

Een goede Avg verwerkersovereenkomst bevat minimaal de volgende onderdelen:

1. Doel en aard van de verwerking

Duidelijk beschrijven welke persoonsgegevens verwerkt worden en met welk doel. 

2. Rechten en verplichtingen van partijen

Afspraken over wie welke rol en verantwoordelijkheid heeft, inclusief datalekmelding en medewerking aan verzoeken van betrokkenen. 

3. Beveiligingsmaatregelen

De verwerker moet passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen verlies, ongeoorloofde toegang of schade. 

4. Subverwerkers

Regels over het inschakelen van subverwerkers door de verwerker en onder welke voorwaarden dit mag. 

5. Geheimhouding en audits

Afspraken over geheimhouding van gegevens en medewerking aan audits of controles. 

6. Teruggeven of verwijderen van gegevens

Wat er met de persoonsgegevens gebeurt na beëindiging van de dienstverlening (teruggeven of vernietigen). 

Voordelen van een Avg verwerkersovereenkomst

Een correcte verwerkersovereenkomst biedt meer dan alleen juridische bescherming:

• Je toont aan dat je AVG-compliant bent;
• Je verkleint de kans op datalekken en boetes;
• Je legt heldere afspraken vast over gegevensverwerking;
• Je beschermt de privacy van klanten en medewerkers. 

Conclusie

Een Avg verwerkersovereenkomst is een essentieel onderdeel van privacy-compliance onder de AVG. Zodra je persoonsgegevens door derden laat verwerken, is het verplicht om een duidelijke en complete verwerkersovereenkomst af te sluiten. Deze overeenkomst helpt om risico’s te beheersen, wettelijke eisen na te leven en vertrouwen te wekken bij klanten en partners.