Verwerkersovereenkomst is vaker nodig dan je denkt

Wie persoonsgegevens door een andere partij laat verwerken, moet vanaf 25 mei een ‘verwerkersovereenkomst’ met deze partij opstellen. Werk aan de winkel voor inkoop- en salesafdelingen!

1268
0

De datum 25 mei, de dag dat de AVG van kracht wordt, komt steeds dichterbij. De afgelopen maanden is iedereen wakker geschud en nu worden er overuren gedraaid om aan de nieuwe wet te voldoen. Een belangrijk onderdeel is de zogenaamde verwerkersovereenkomst, die valt onder de verantwoordingsplicht. Wanneer heb je zo’n overeenkomst nodig, wat houdt die in en waarom is het belangrijk hiermee aan de slag te gaan?

Besteed je activiteiten uit?

verwerkersovereenkomst

Stel dat jouw organisatie of bedrijf activiteiten uitbesteedt aan derden. Bijvoorbeeld de salarisadministratie, werkroosters, HR-databeheer of de opslag van persoonsinformatie in de cloud. Die externe partij beschikt dan over – vaak gevoelige – gegevens van medewerkers, klanten, patiënten, studenten, inwoners, enzovoorts. Het is niet de bedoeling dat die informatie gaat ‘rondzwerven’ en misbruikt wordt voor ongewenste mails, spamberichten of phishing.

Om dat te voorkomen verplicht de AVG dat een opdrachtgever (verwerkingsverantwoordelijke) schriftelijke afspraken maakt met een opdrachtnemer (verwerker). De verwerkersovereenkomst is een juridisch bindend document waar beide partijen én individuen rechten aan kunnen ontlenen. Het opstellen van deze overeenkomst is stap 8 in het 10-stappenplan van de Autoriteit Persoonsgegevens.

Niet nodig? Toch wel!

Misschien denk je: voor mijn activiteiten is zo’n overeenkomst niet nodig. Zeker weten? Een mooi voorbeeld zijn printers die bij allerlei organisaties staan. Die printers zijn op geen enkele manier digitaal verbonden met de leverancier. Je zou dus denken dat de verwerkersovereenkomst niet van toepassing is. Toch is dat wel zo.

Als een printer servicemeldingen geeft en de leverancier ter plekke een reparatie uitvoert, rolt er soms plotseling alsnog een document uit. Wanneer de printer op een HR-afdeling of een gemeentelijke afdeling burgerzaken staat, kan dit document zomaar persoonsgevoelige informatie bevatten. Alleen al om die reden is een verwerkersovereenkomst nodig. Sowieso is het erg belangrijk om een printer goed te beveiligen.

Wat spreek je samen af?

In de verwerkersovereenkomst staan allerlei afspraken over de gegevensverwerking, zoals de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, rechten en verplichtingen. Kort gezegd komt het erop neer dat duidelijk is wat de verwerker precies doet met de gegevens en waar die gegevens wel en niet voor gebruikt mogen worden.

Doel is een optimale bescherming van de privacy van personen; dat is immers waarvoor de AVG in het leven geroepen is. Vertrouwelijkheid en betrouwbaarheid zijn hierbij sleutelwoorden. Een bedrijf dat de personeelsgegevens van een klant gebruikt om zonder toestemming aan individuele medewerkers andere diensten aan te bieden, begeeft zich op glad ijs. Straks is dit verboden en worden hiervoor boetes uitgedeeld.

Digitale ondersteuning

Vooral grote en middelgrote organisaties zullen in de toekomst meerdere verwerkersovereenkomsten afsluiten. Dat vraagt om structuur en overzicht. Hoeveel overeenkomsten zijn er, met wie zijn ze afgesloten, welke afdeling is hiervoor verantwoordelijk, welke afspraken zijn er gemaakt? De juiste digitale ondersteuning zorgt ervoor dat iedereen in je organisatie snel de relevante informatie kan vinden. Daar kun je veel tijd mee besparen.

verwerkersovereenkomstWiel niet opnieuw uitvinden

Inmiddels bieden veel sectoren een standaard verwerkersovereenkomst aan als onderdeel van nieuwe contracten. Bij bestaande contracten kan de overeenkomst als addendum worden bijgevoegd. Gemeenten kunnen voor een model terecht bij de VNG, voor de zorgsector heeft Brancheorganisaties Zorg een voorbeeld opgesteld en het onderwijs wordt bediend door het samenwerkingsverband SURF. Mijn advies aan inkoop- en salesafdelingen is dan ook: ga niet opnieuw het wiel uitvinden, maar informeer eerst bij je eigen sector.

In deze serie verscheen ook: ‘De privacywet AVG komt eraan en raakt ons allemaal’ en ‘De AVG: hoe blijf je door de bomen het bos zien’.

 

Downloads bij dit artikel

  • Security rapportRapport

    Met dit Security rapport kun je je printer als onderdeel van de digitale werkplek in 4 fasen beveiligen.

  • De volledige GDPR / AVG wettekstRapport

    De General Data Protection Regulation (GDPR) wet in het Nederlands, beschikbaar gemaakt door de Europese Unie. De wet is binnen Nederland ook bekend als Algemene Verordening Gegevensbescherming (AVG) en heet formeel 'Directive 95/46/EC' (Engels) of 'Richtlijn 95/46/EG' (Nederlands) . In deze download lees je de volledige inhoud van deze wet, in 99 artikelen op 88 pagina's.

  • Gratis handleiding voor digitaal werkeneBook

    Bespaar tijd, kosten en creëer efficiency: digitaliseer uw zakelijke documenten en start met digitaal werken. Het e-book ‘Documenten digitaliseren’ biedt inzichten, tips en eye-openers. Download het e-book hier.

Franc de Vocht Privacy & Informatie Beveiliging

"< = >" oftewel "Less is more"

Reageer ook

Reacties 0


Reageer

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Reageer ook