• Home
• Nieuws

AVG: de verwerkersovereenkomst

Geplaatst door CorporatieMedia op Friday 4 May 2018

Als privacy officer Frank Baas een kamer vol corporaties vraagt wie 100% AVG-compliant is voor 25 mei, steekt niemand zijn hand op. Dat bleek wel tijdens CorporatieGids LIVE 2018, waar NEH een kennissessie verzorgde. Tijdens deze sessie stelde Frank zich beschikbaar om vragen over de AVG te beantwoorden. Een onderwerp dat de aanwezigen graag wilden aankaarten, was de verwerkersovereenkomst.

Organisaties zijn al druk bezig met de voorbereidingen op de aanstaande wetswijziging. Het opstellen van een verwerkersovereenkomst is daar een cruciaal onderdeel van. Een lastig vraagstuk hierbij is: wie is verwerker, en wie is verwerkingsverantwoordelijke?

Verwerker vs verwerkingsverantwoordelijke 
Deze begrippen kennen we al van de Wet Bescherming Persoonsgegevens (WBP), alleen werden toen de termen ‘bewerker’ en ‘bewerkersovereenkomst’ gebruikt. Een kleine verandering dus, maar de definitie is hetzelfde gebleven.

De verwerker is nog steeds de partij die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerkingsverantwoordelijke bepaalt hierbij het doel en de middelen van de verwerking. Tussen deze twee partijen moet een overeenkomst gesloten worden. Dit is een strikte eis die de AVG stelt en hier zijn dan ook een aantal verplichte onderwerpen aan gebonden.

Verplichte onderwerpen van de verwerkersovereenkomst 
We lichten drie belangrijke verplichte onderwerpen uit.

1.    Transparantie over beveiligingsincidenten en datalekken 
In de verwerkersovereenkomst maken verwerker en verwerkingsverantwoordelijke afspraken over rapportages van beveiliging. Daarbij heeft de verwerkingsverantwoordelijke het recht om de gehanteerde beveiligingseisen van de verwerker door een deskundige te laten inspecteren. Indien een beveiligingsincident plaatsvindt, moet dit uiteraard worden gemeld. In de verwerkersovereenkomst worden inhoudelijke criteria van deze melding vastgelegd.

2.    Expliciete toestemming voor het inschakelen van een subverwerker 
Volgens de wet kan de verwerkingsverantwoordelijke partij bezwaar maken tegen de inzet van een door de verwerker aangestelde subverwerker. Onze kanttekening hierbij is dat hiervoor een gegronde reden moet zijn. De verwerker zal op basis van zijn professionaliteit een gedegen onderzoek doen voordat besloten wordt een subverwerker te contracteren. De verwerker is tenslotte verantwoordelijk voor de daden van de sub-verwerker. Een verwerkingsverantwoordelijke kan na eigen onderzoek en de rapportage daaruit de verwerker tot nader overleg uitnodigen om de keuze van de subverwerker te bespreken.

3.    Wijzigingen of beëindiging van de verwerkersovereenkomst 
Naast afspraken over bewaartermijnen en reservekopieën moeten ook regelingen getroffen worden indien de verwerkersovereenkomst wijzigt of wordt beëindigd. Hierin wordt besproken hoe de verwerkingsverantwoordelijke weer beschikking krijgt over gegevens na de beëindiging van de dienstverlening. Ook moet gewaarborgd worden hoe de verwerker na deze beëindiging niet meer over persoonsgegevens beschikt.

Verwerker door AVG wél aansprakelijk 
Tot slot benoemen we een belangrijk verschil tussen de AVG en de WBP, namelijk dat de AVG bepaalt dat een verwerker rechtstreeks kan worden aangesproken door de betrokkenen en door de Autoriteit Persoonsgegevens. Eerder, onder de WBP, kon een verwerker contractueel uitgesloten worden van aansprakelijkheid. De verwerkersovereenkomst hoeft overigens geen losstaand document te zijn, maar kan worden opgenomen in de algemene voorwaarden.

De hele organisatie AVG-proof 
Het opstellen van een verwerkersovereenkomst en de opschoning van bedrijfsprocessen is niet genoeg om volledig AVG compliant te zijn. Er moet bewustwording en gedragsverandering plaatsvinden onder alle medewerkers in jouw organisatie. Hoe pak je dat aan? In samenwerking met BeveiligMij.nl bieden wij een AVG e-learning aan. Deze e-learning beantwoordt op een laagdrempelige wijze de veel gestelde vragen. Er wordt stilgestaan bij de impact van de wetswijziging op de organisatie én de persoonlijke impact op de medewerker. Wil je hier meer over weten? Neem contact met NEH op via marketing@nehgroup.com of 033 4343 070.

Bron: NEH | Foto: NEH