Heldere afspraken over het verwerken van persoonsgegevens

In een verwerkersovereenkomst maken partijen afspraken over de omgang met persoonsgegevens. Het uitgangspunt is dat de verwerkingsverantwoordelijke bepaalt wat er met de persoonsgegevens gebeurt. De verwerker mag de gegevens alleen in opdracht van de verwerkingsverantwoordelijke verwerken. Beide partijen zijn wettelijk verplicht om hier afspraken over te maken. Onze privacyspecialisten helpen jouw organisatie met het opstellen van een verwerkersovereenkomst.

Wat staat er in een verwerkersovereenkomst?

1. Persoonsgegevens en doeleinden

De verwerker moet duidelijke instructies krijgen over welke persoonsgegevens er worden verwerkt, en voor welke doeleinden dat gebeurt.

2. Subverwerkers

In sommige gevallen maakt een verwerker weer gebruik van een andere verwerker, ook wel subverwerker genoemd. Dat mag niet zomaar. Daar moeten afspraken over worden gemaakt in een verwerkersovereenkomst.

3. Doorgifte van persoonsgegevens

Het is mogelijk dat de verwerker of subverwerker gevestigd is in een land buiten de Europese Economische Ruimte, een zogenaamd derde land. Denk bijvoorbeeld aan ICT-dienstverleners die gevestigd zijn in de Verenigde Staten. De persoonsgegevens mogen alleen worden doorgegeven als er passende waarborgen zijn getroffen. In een verwerkersovereenkomst regelen de verwerkingsverantwoordelijke en verwerker of, en zo ja onder welke voorwaarden, persoonsgegevens mogen worden doorgegeven aan een derde land.

4. Beveiligingsmaatregelen
Het is van belang dat persoonsgegevens op juiste wijze worden beveiligd. Het is daarom gebruikelijk om bijvoorbeeld een overzicht van beveiligingsmaatregelen op te nemen in de verwerkersovereenkomst.

5. Datalekken
Gebeurt er iets met persoonsgegevens dat niet de bedoeling is, dan hebben we te maken met een datalek. Het is belangrijk dat datalekken op een goede manier worden afgehandeld. Een goede samenwerking tussen een verwerkingsverantwoordelijke en verwerker is dan essentieel.

6. Audits 
Een verwerkingsverantwoordelijke heeft het recht om te (laten) controleren of de verwerker de werkzaamheden goed verricht. Aan de hand van een audit kan de werkwijze worden gecontroleerd.

7. Verzoeken van betrokkenen
Ontvangt een van de partijen een verzoek van een betrokkene, dan zal dat verzoek opgepakt moeten worden. In sommige situaties is de verwerkingsverantwoordelijke afhankelijk van de medewerking van de verwerker. Op welke manier verzoeken van betrokkenen worden afgehandeld volgt uit de verwerkersovereenkomst.

8. Verwijdering of vernietiging van de persoonsgegevens 
Stopt de dienstverlening dan heeft de verwerker de persoonsgegevens vaak niet meer nodig. Het is aan de verwerkingsverantwoordelijke om te bepalen wat er vervolgens met de persoonsgegevens gebeurt: dient de verwerker de gegevens te verwijderen of te vernietigen?   

"ICTRecht is een zeer gewaardeerde partner voor Otrium. Het team zet altijd net die stap extra waardoor ze onze verwachtingen meer dan waarmaken. En dat op een heel efficiënte manier. We raden ICTRecht's kennis en expertise van harte aan."

Otrium_logo-1

Meer informatie ontvangen?

Laat een bericht achter via het formulier. Een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

Laat je gegevens achter