De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek uitgevoerd naar verwerkersovereenkomsten. Daarbij heeft de AP informatie opgevraagd bij 31 private organisaties in onder meer de sectoren handel, gezondheidszorg, media, vrije tijd en energie. De AP komt nu met vijf concrete tips waar je op moet letten bij een verwerkersovereenkomst.
In een verwerkersovereenkomst worden door de verwerkingsverantwoordelijke en verwerker afspraken gemaakt over wat de verwerker wel en niet mag of moet doen met de persoonsgegevens die de verwerker verkrijgt. Denk aan afspraken over o.a. het beveiligingsbeleid, welke persoonsgegevens er verwerkt worden en het doel van de verwerking. Het opstellen van een verwerkersovereenkomst is een ‘accountability’ verplichting die in de Algemene verordening gegevensbescherming (AVG) terug te vinden is. Accountability, ook de verantwoordingsplicht genoemd, staat centraal in de AVG. Doordat organisaties zelf bij dienen te houden dat ze aan de AVG voldoen, worden ze gedwongen goed stil te staan bij het verwerken van persoonsgegevens en of daarmee aan de privacyregels wordt voldaan.
De AP geeft ten eerste de tip om een overzicht te maken van de vereisten die in een verwerkersovereenkomst terug dienen te komen. Vergelijk deze met de al bestaande verwerkersovereenkomsten en pas de verwerkersovereenkomst aan op punten waar er discrepanties bestaan. Let op: in de meeste gevallen zul je tot overeenstemming moeten komen met de wederpartij over een aanpassing in de verwerkersovereenkomst.
Maak voor jezelf duidelijk welke partijen er worden ingeschakeld en voor welke verwerking zij persoonsgegevens verwerken, welke rol zij daarin hebben, wat de risico’s zijn en welke verwerkersovereenkomsten daarbij al aanwezig zijn of juist benodigd zijn.
Zorg ervoor dat het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten echt onderdeel is van jouw contractmanagement. Daarmee voorkom je namelijk dat een verwerkersovereenkomst als losstaand instrument wordt gezien. Bij aangepaste omstandigheden zal het wijzigen van de verwerkersovereenkomst daarbij niet over het hoofd gezien worden. Herzie ook periodiek of de verwerkersovereenkomst nog voldoet aan de eisen.
Onder de Wet bescherming persoonsgegevens (Wbp) bestond ook al de plicht om een bewerkersovereenkomst op te stellen, maar met de switch van bewerkersovereenkomst naar verwerkersovereenkomst in de AVG zijn een aantal elementen verder uitgewerkt. Zo is er in de AVG een nadere uitwerking van de informatieplicht te vinden die rust op verwerkingsverantwoordelijken. Ook de termijn dat persoonsgegevens opgeslagen worden moet worden gecommuniceerd. Die kan echter weer gerelateerd zijn aan eventuele overeengekomen bewaartermijnen tussen verwerkingsverantwoordelijke en een verwerker. Daarom kan het nodig zijn om je bewerkersovereenkomsten aan te passen aan de aangescherpte eisen uit de AVG.
Tot slot bevat de AVG, net als veel andere wetten, veelal open normen. Deze dien je in te vullen aan de hand van de specifieke situatie waarin verwerkingsverantwoordelijke en verwerkers zich bevinden. Een verwerkersovereenkomst dient daarbij ter nadere invulling van die norm, zodat beide partijen weten hóé zij de open norm in de specifieke situatie samen invullen. Een bijvoorbeeld hierbij is het vastleggen van hoe persoonsgegevens geleverd worden aan de verwerker door de verwerkingsverantwoordelijke en hoe deze bij het beëindigen van de verwerkersovereenkomst worden vernietigd of weer worden teruggegeven aan de verwerkingsverantwoordelijke. Daarnaast moeten er concrete afspraken worden gemaakt over onder andere welke persoonsgegevens worden verwerkt, wie het doel en de middelen bepaalt, hoe de gegevens worden beveiligd en welke verwerkingen er door de verwerker zullen worden uitgevoerd.
Tot slot hierbij nog twee tips van ons voor het sluiten van een verwerkersovereenkomst. Let ten eerste op bij het maken van afwijkende afspraken (afwijkend aan de eigen overeenkomst). Zorg ervoor dat deze afwijkende afspraken nagekomen kúnnen worden en registreer bijkomende afwijkende plichten, zoals een kortere meldtermijn bij datalekken of andere omgang met rechten van betrokkenen. Laat de verwerkersovereenkomst ten tweede ook aansluiten bij een hoofdovereenkomst. Dan is het doel van de verwerking duidelijk omschreven en kan de verwerkersovereenkomst meegroeien met een eventueel uit te breiden hoofdovereenkomst.
Heb je vragen over, of hulp nodig bij, het opstellen van een verwerkersovereenkomst? Bij alle bovenstaande punten helpen wij je graag! Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan vrijblijvend contact met je op.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.