Sinds 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht. Deze wet zorgt ervoor dat de hele Europese Unie één privacywetgeving heeft. Iedereen die persoonsgegevens van bijvoorbeeld klanten verzamelt en laat verwerken, moet een verwerkersovereenkomst hebben. Denk hierbij aan bloggers en ZZP’ers, maar ook scholen en bedrijven.
Wat is een verwerkersovereenkomst precies?
Een belangrijk onderdeel van de AVG is een verwerkersovereenkomst, voorheen bekend als de bewerkersovereenkomst. Wanneer je als bedrijf de verwerking van persoonsgegevens uitbesteed heb je een verwerkersovereenkomst nodig. Hierin staan de verplichtingen die de verwerker (bijvoorbeeld jouw boekhouder) heeft. Daarnaast kunnen eerder gemaakte afspraken in de verwerkersovereenkomst niet zo maar veranderen. Het is dus eigenlijk een overeenkomst tussen de verwerkingsverantwoordelijke (de opdrachtgever) en de verwerker (de leverancier). De opdrachtgever kan de leverancier aansprakelijk stellen wanneer er schade wordt geleden. Let er echter wel op dat de overeenkomst up to date blijft. Zo kan de persoon van wie de gegevens zijn bij een fout jou niet zomaar aansprakelijk stellen.
Door het opstellen van dit document word je gedwongen goed na te denken over hoe jouw bedrijf persoonsgegevens verwerkt en beveiligt. Je moet namelijk kunnen aantonen dat de verwerking voldoet aan de regels van de AVG.
Wanneer is zo’n verwerkersovereenkomst nodig?
Wanneer je systematisch persoonsgegevens verwerkt of laat verwerken, door bijvoorbeeld je boekhouder heb je al een verwerkersovereenkomst nodig. Je legt onder andere vast waarom je deze gegevens opslaat, voor hoe lang, hoe ze beveiligd worden, en wat de te nemen stappen zijn in geval van een datalek. Je mag data niet op andere manieren dan hierin genoemd verwerken of opslaan. Het is daarnaast raadzaam om zelf de het document op te stellen wanneer je de verwerking uitbesteed. Op die manier houdt je de controle over wat er met de gegevens gebeurt. Jij bent immers degene die verantwoording moet afleggen.
Onder deze overeenkomst valt ook de verwijderingsplicht. Zijn de gegevens niet meer nodig of niet meer relevant, dan is de verwerker verplicht om deze te verwijderen. Ook hierover maak je afspraken, bijvoorbeeld of documenten terug worden gestuurd of wie ze vernietigt. Je stelt in ieder geval geen overeenkomst op met werknemers, vrijwilligers en ingehuurde krachten of mensen van wie je de persoonsgegevens verwerkt. In geval van werknemers, vrijwilligers en ingehuurde krachten sluit je een overeenkomst met een geheimhoudingsclausule. Mensen van wie je de persoonsgegevens verwerkt moeten akkoord gaan met je privacyverklaring.
Mocht je hulp nodig hebben bij het opstellen van een AVG of verwerkersovereenkomst dan help ik je natuurlijk graag op weg.