Verwerkersovereenkomst is vaker nodig dan je denkt

  • 1913
  •  7
  • 3 min
  • 24 apr 2018
Verwerkersovereenkomst is vaker nodig dan je denkt

Verwerkersovereenkomst is vaker nodig dan je denkt

  • 1913
  •  7
  • 3 min
  • 24 apr 2018

De datum 25 mei, de dag dat de AVG van kracht wordt, komt steeds dichterbij. De afgelopen maanden is iedereen wakker geschud en nu worden er overuren gedraaid om aan de nieuwe wet te voldoen. Een belangrijk onderdeel is de zogenaamde verwerkersovereenkomst, die valt onder de verantwoordingsplicht. Wanneer heb je zo’n overeenkomst nodig, wat houdt die in en waarom is het belangrijk hiermee aan de slag te gaan?

Besteed je activiteiten uit?

verwerkersovereenkomst

Stel dat jouw organisatie of bedrijf activiteiten uitbesteedt aan derden. Bijvoorbeeld de salarisadministratie, werkroosters, HR-databeheer of de opslag van persoonsinformatie in de cloud. Die externe partij beschikt dan over – vaak gevoelige – gegevens van medewerkers, klanten, patiënten, studenten, inwoners, enzovoorts. Het is niet de bedoeling dat die informatie gaat ‘rondzwerven’ en misbruikt wordt voor ongewenste mails, spamberichten of phishing.

Om dat te voorkomen verplicht de AVG dat een opdrachtgever (verwerkingsverantwoordelijke) schriftelijke afspraken maakt met een opdrachtnemer (verwerker). De verwerkersovereenkomst is een juridisch bindend document waar beide partijen én individuen rechten aan kunnen ontlenen. Het opstellen van deze overeenkomst is stap 8 in het 10-stappenplan van de Autoriteit Persoonsgegevens.

Niet nodig? Toch wel!

Misschien denk je: voor mijn activiteiten is zo’n overeenkomst niet nodig. Zeker weten? Een mooi voorbeeld zijn printers die bij allerlei organisaties staan. Die printers zijn op geen enkele manier digitaal verbonden met de leverancier. Je zou dus denken dat de verwerkersovereenkomst niet van toepassing is. Toch is dat wel zo.

Als een printer servicemeldingen geeft en de leverancier ter plekke een reparatie uitvoert, rolt er soms plotseling alsnog een document uit. Wanneer de printer op een HR-afdeling of een gemeentelijke afdeling burgerzaken staat, kan dit document zomaar persoonsgevoelige informatie bevatten. Alleen al om die reden is een verwerkersovereenkomst nodig. Sowieso is het erg belangrijk om een printer goed te beveiligen.

Wat spreek je samen af?

In de verwerkersovereenkomst staan allerlei afspraken over de gegevensverwerking, zoals de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, rechten en verplichtingen. Kort gezegd komt het erop neer dat duidelijk is wat de verwerker precies doet met de gegevens en waar die gegevens wel en niet voor gebruikt mogen worden.

Doel is een optimale bescherming van de privacy van personen; dat is immers waarvoor de AVG in het leven geroepen is. Vertrouwelijkheid en betrouwbaarheid zijn hierbij sleutelwoorden. Een bedrijf dat de personeelsgegevens van een klant gebruikt om zonder toestemming aan individuele medewerkers andere diensten aan te bieden, begeeft zich op glad ijs. Straks is dit verboden en worden hiervoor boetes uitgedeeld.

Digitale ondersteuning

Vooral grote en middelgrote organisaties zullen in de toekomst meerdere verwerkersovereenkomsten afsluiten. Dat vraagt om structuur en overzicht. Hoeveel overeenkomsten zijn er, met wie zijn ze afgesloten, welke afdeling is hiervoor verantwoordelijk, welke afspraken zijn er gemaakt? De juiste digitale ondersteuning zorgt ervoor dat iedereen in je organisatie snel de relevante informatie kan vinden. Daar kun je veel tijd mee besparen.

verwerkersovereenkomstWiel niet opnieuw uitvinden

Inmiddels bieden veel sectoren een standaard verwerkersovereenkomst aan als onderdeel van nieuwe contracten. Bij bestaande contracten kan de overeenkomst als addendum worden bijgevoegd. Gemeenten kunnen voor een model terecht bij de VNG, voor de zorgsector heeft Brancheorganisaties Zorg een voorbeeld opgesteld en het onderwijs wordt bediend door het samenwerkingsverband SURF. Mijn advies aan inkoop- en salesafdelingen is dan ook: ga niet opnieuw het wiel uitvinden, maar informeer eerst bij je eigen sector.

In deze serie verscheen ook:


Erica van den Biggelaar 1

Erica van den Biggelaar (auteur) Niets is zo blijvend als verandering. Maar ondanks dat worden bij veel organisaties “repeterende” bedrijfsprocessen dagelijks (handmatig) nog steeds op dezelfde manier uitgevoerd. Ik daag mensen, organisaties en mezelf graag uit om samen te kijken...

Kennisbank