Wanneer uw organisatie de verwerking van persoonsgegevens uitbesteedt aan een externe partij dan is het vanuit de Algemene verordening gegevensbescherming (AVG) verplicht om afspraken te maken over de verwerking van de gegevens. Deze afspraken moeten schriftelijk worden vastgelegd.
Het document waarin de afspraken staan beschreven wordt een Verwerkersovereenkomst genoemd. De AVG schrijft voor dat er een verwerkersovereenkomst moet zijn als:
- Uw organisatie persoonsgegevens voor iemand verwerkt.
- U persoonsgegevens aan een derde ter beschikking stelt.
Een verwerkersovereenkomst is niet altijd noodzakelijk een apart document. Het kan ook zo zijn dat de afspraken tussen partijen vastgelegd worden in een hoofdovereenkomst, algemene voorwaarden of een Service Level Agreement (SLA). Hoe dan ook, het is cruciaal om onder de AVG een verwerkersovereenkomst te hebben. Overtreedt uw organisatie de AVG, dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.
- Verwerkingsverantwoordelijken hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht. Komt een verwerkingsverantwoordelijke deze verplichtingen niet na, dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2 % van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
- Overtreedt een verwerkingsverantwoordelijke de beginselen of grondslagen van de AVG of de privacyrechten van de betrokkenen, dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4 % van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Wie is de verwerkingsverantwoordelijke en wie is de gegevensverwerker?
In een verwerkersovereenkomst staat beschreven wie verwerkingsverantwoordelijk is bij de verwerking van persoonsgegevens als daarvoor een ander bedrijf wordt ingeschakeld. In een dergelijke overeenkomst wordt gesproken over een verwerkingsverantwoordelijke en een gegevensverwerker.
De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
De gegevensverwerker is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Een voorbeeld is een bedrijf dat persoonsgegevens verzamelt ten behoeve van de salarisadministratie. Dit is de verwerkingsverantwoordelijke. Wanneer de gegevens worden verwerkt door een salarisadministratiekantoor dan is dit de gegevensverwerker.
Wat staat er in een verwerkersovereenkomst AVG?
In een verwerkersovereenkomst dient te worden opgenomen:
- Wat het doel van de verwerking is.
- Wat de manier/methode van verwerking is (met welke middelen).
- De locatie van de data.
- Geheimhouding.
- Afspraken over eventuele onderaannemers/derden.
- Beveiligingsmaatregelen.
- De duur van de verwerking.
- Afspraken over audits.
- Afspraken over aansprakelijkheid.
Data mag enkel worden opgeslagen en verwerkt voor de doeleinden die zijn opgenomen in de overeenkomst. Zodra het doel bereikt is en de overeenkomst is afgelopen, wat gebeurt er dan met de gegevens? Wie vernietigt ze of worden deze teruggestuurd? Het is van belang om dat in de verwerkersovereenkomst op te nemen. Daarnaast is het belangrijk dat partijen met elkaar in een overeenkomst vastleggen hoe er wordt omgegaan met datalekken. Wie meldt de datalekken en wie vergoedt de eventuele schade?
Informatie
Benieuwd wat Moja Rada voor uw organisatie kan betekenen?
Vraag vrijblijvend informatie aan