De verwerkersovereenkomst: Bescherming van persoonsgegevens onder de AVG

De verwerkersovereenkomst is een contract voor persoonsgegevens die een derde partij verwerkt.

Verwerkers-overeenkomst

Met het delen van persoonsgegevens komt een grote verantwoordelijkheid. De Algemene verordening gegevensbescherming (AVG) stelt hierbij namelijk strikte eisen, met de verwerkersovereenkomst (ook bekend als een Data Processing Agreement of DPA) als een van de belangrijkste instrumenten. Maar wat is een verwerkersovereenkomst precies, wanneer heb je er een nodig en wat moet erin staan? Dit artikel geeft je een compleet overzicht, zodat je weet hoe je compliant kunt zijn en de gegevens van betrokkenen effectief kunt beschermen.

De verwerkersovereenkomst: van juridisch noodzaak naar strategische IT-compliance

Het verwerken van persoonsgegevens op cloudservices is tegenwoordig de Best Practice in de dagelijkse IT-praktijk. Terwijl de Algemene verordening gegevensbescherming (AVG) de regels oplegt, is de verwerkersovereenkomst het concrete instrument waarmee we die regels vertalen naar de praktijk. Het document is onmisbaar voor elke organisatie die gegevens deelt met derden. We geven antwoord op de volgende vragen:

  • Wat is een verwerkersovereenkomst?
  • Wanneer is een verwerkersovereenkomst verplicht?
  • Wat staat er in een verwerkersovereenkomst?
  • Wat is het verschil tussen een Data Processing Agreement en een Data Processing Addendum?

Lees verder en ontdek hoe je van een juridische verplichting een strategisch voordeel maakt in je IT-governance.

De specifieke situaties waarin een DPA vereist is

Een DPA (verwerkersovereenkomst) is verplicht in elke situatie waarin een organisatie (de verwerkingsverantwoordelijke) persoonsgegevens laat verwerken door een andere partij (de verwerker) die de gegevens namens de verwerkingsverantwoordelijke verwerkt.

De noodzaak voor een DPA ontstaat dus wanneer er aan twee voorwaarden wordt voldaan:

  1. De verwerker verwerkt persoonsgegevens. Dit omvat elke handeling met de gegevens, van opslaan tot vernietigen.
  2. De verwerker verwerkt de gegevens in opdracht van de verwerkingsverantwoordelijke. De verwerker heeft geen eigen doel met de gegevens; hij handelt puur op instructie van de opdrachtgever.

Hieronder enkele concrete voorbeelden van situaties waarin een DPA vereist is:

  • Een bedrijf dat een cloudopslagdienst (bijv. Dropbox of Google Drive) gebruikt om klantinformatie op te slaan.
  • Een webshop die een externe partij inschakelt voor het afhandelen van de verzendingen. De verzendpartij verwerkt dan klantnamen en adressen.
  • Een organisatie die een extern salarisadministratiebedrijf inhuurt.
  • Het gebruik van een externe marketingtool voor e-mailcampagnes, waarbij klantgegevens in de tool worden geladen.

Een DPA is dus verplicht wanneer een partij persoonsgegevens verwerkt namens een andere partij

Is een DPA dan wel verplicht als ik zelf persoonsgegevens verwerk van mijn klanten?

In dat specifieke geval is een DPA niet verplicht. Een DPA is alleen nodig als je persoonsgegevens laat verwerken door een andere partij. Als je zelf gegevens verwerkt van je eigen klanten, bijvoorbeeld in je eigen CRM-systeem, dan ben je de verwerkingsverantwoordelijke en heb je geen DPA nodig voor deze verwerking. Je bent dan namelijk zelf direct verantwoordelijk voor de naleving van de AVG.

Dus ik hoef geen DPA de maken voor mijn klanten, maar mijn cloud leverancier moet er wel een met mij hebben?

Je bent de verwerkingsverantwoordelijke voor de persoonsgegevens van jouw klanten. Je bent direct verantwoordelijk voor de naleving van de AVG, inclusief het correct verwerken van die gegevens.

Jouw cloudleverancier is de verwerker van die gegevens, omdat hij ze verwerkt in jouw opdracht. Daarom ben je verplicht om een verwerkersovereenkomst (DPA) af te sluiten met je cloudleverancier. Deze overeenkomst zorgt ervoor dat de leverancier zich houdt aan de afspraken die jij stelt en voldoet aan de wettelijke eisen van de AVG.

Verwerkingsverantwoordelijke vs. Verwerker: Wie doet wat?

Binnen de AVG zijn de rollen van verwerkingsverantwoordelijke en verwerker fundamenteel. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Dit zijn wij, als vertegenwoordiger  van onze organisatie. Wij bepalen waarom jw klantgegevens nodig hebben en hoe we ze gebruiken. De verwerker is de partij die persoonsgegevens in opdracht van de verwerkingsverantwoordelijke verwerkt. Denk aan een SaaS leverancier of een salarisadministrateur. Zij verwerken de gegevens wel, maar hebben er geen eigen doel mee; zij handelen puur op jouw instructie. Daarom ben je als verwerkingsverantwoordelijke verplicht om een verwerkersovereenkomst af te sluiten met elke verwerker die namens jou persoonsgegevens verwerkt.

Strenge eisen aan de AVG verwerkersovereenkomst

Een verwerkersovereenkomst, of DPA (Data Processing Agreement), moet aan strenge eisen van de AVG (Algemene verordening gegevensbescherming) voldoen. De belangrijkste zijn:

  • Onderwerp en duur van de verwerking: Een duidelijke beschrijving van welke persoonsgegevens worden verwerkt en voor hoe lang.
  • Aard en doel van de verwerking: Waarom worden de gegevens verwerkt en wat is het beoogde resultaat?
  • Soort persoonsgegevens en categorieën van betrokkenen: Welke specifieke gegevens (bijv. naam, adres, BSN) worden verwerkt en van wie (bijv. klanten, werknemers)?
  • Rechten en plichten van de verwerkingsverantwoordelijke: Dit zijn de instructies die de verwerker moet opvolgen.
  • Beveiligingsmaatregelen: De technische en organisatorische maatregelen die de verwerker treft om de gegevens te beveiligen (bijv. encryptie, toegangsbeheer).
  • Inschakelen van sub-verwerkers: De afspraken over of de verwerker andere partijen mag inschakelen en zo ja, onder welke voorwaarden.
  • Medewerking aan AVG-verzoeken: De plicht van de verwerker om de verwerkingsverantwoordelijke te helpen bij verzoeken van betrokkenen (bijv. inzage, rectificatie).
  • Meldplicht datalekken: De procedure die de verwerker moet volgen bij een datalek, inclusief de termijn om de verwerkingsverantwoordelijke te informeren.
  • Einde van de overeenkomst: Wat er met de gegevens gebeurt na afloop van de overeenkomst, zoals het verwijderen of terugsturen ervan.

Verplichtingen van de verwerker

Opvolgend heeft de verwerker een aantal belangrijke verplichtingen die essentieel zijn. Deze verplichtingen zorgen ervoor dat de verwerker zorgvuldig en in lijn met de AVG omgaat met de persoonsgegevens. De belangrijkste taken en verantwoordelijkheden van de verwerker zijn:

  • Verwerken van gegevens volgens instructie: De verwerker mag de persoonsgegevens uitsluitend verwerken op basis van de schriftelijke instructies van de verwerkingsverantwoordelijke. Dit is een van de fundamentele principes van de verwerkersovereenkomst.
  • Beveiligingsmaatregelen: De verwerker moet passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies, onrechtmatige verwerking of datalekken.
  • Geheimhoudingsplicht: De medewerkers van de verwerker die toegang hebben tot de persoonsgegevens, moeten gebonden zijn aan een geheimhoudingsplicht.
  • Inschakelen van sub-verwerkers: De verwerker mag alleen andere partijen (sub-verwerkers) inschakelen met voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker blijft verantwoordelijk voor de handelingen van deze sub-verwerkers.
  • Ondersteuning van de verwerkingsverantwoordelijke: De verwerker moet de verwerkingsverantwoordelijke ondersteunen bij het nakomen van diens verplichtingen onder de AVG.
  • Meldplicht datalekken: De verwerker moet de verwerkingsverantwoordelijke onverwijld informeren zodra er een datalek heeft plaatsgevonden.
  • Vernietigen of retourneren van gegevens: Na afloop van de dienstverlening moet de verwerker de persoonsgegevens wissen of teruggeven aan de verwerkingsverantwoordelijke, tenzij een wettelijke verplichting de opslag vereist.
  • Auditrecht: De verwerker moet meewerken aan audits en inspecties die worden uitgevoerd door de verwerkingsverantwoordelijke of een onafhankelijke auditor.

Welke risico’s lopen we bij ontbreken van een verwerkersovereenkomst, inclusief mogelijke boetes

Het ontbreken van een verwerkersovereenkomst (DPA) kan aanzienlijke risico’s en gevolgen met zich meebrengen, zowel juridisch als financieel. De AVG (Algemene verordening gegevensbescherming) beschouwt het niet hebben van een DPA als een overtreding, wat kan leiden tot forse sancties. Hieronder de belangrijkste risico’s:

  • Boetes: De toezichthoudende autoriteiten kunnen een boete opleggen voor het niet naleven van de AVG, met boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet.
  • Aansprakelijkheid: Zonder DPA is de verwerkingsverantwoordelijke medeverantwoordelijk bij een datalek bij de verwerker en is het lastig om de aansprakelijkheid te verhalen.
  • Schadeclaims: Betrokkenen kunnen schadeclaims indienen bij de verwerkingsverantwoordelijke als hun persoonsgegevens onrechtmatig zijn verwerkt.
  • Verlies van vertrouwen: Een datalek kan leiden tot een aanzienlijk verlies van klant- en partnervertrouwen.
  • Slechte bewijspositie: Bij een inspectie door de Autoriteit Persoonsgegevens ontbreekt het bewijs van de juiste afspraken.

Veel gemaakte fouten bij het opstellen van een verwerkersovereenkomst

Er zijn verschillende veelgemaakte fouten bij het opstellen van een verwerkersovereenkomst (DPA) die je in je artikel kunt benadrukken. Het is belangrijk om deze te voorkomen, omdat ze de juridische geldigheid en effectiviteit van de overeenkomst kunnen ondermijnen.

Hier is een overzicht van 6 veel voorkomende fouten:

  1. Onvolledige overeenkomst: De DPA voldoet niet aan alle wettelijke vereisten van de AVG.
  2. Vage formuleringen: De overeenkomst bevat vage of algemene beschrijvingen, zoals “passende beveiliging”.
  3. Tegenspraak met het hoofdcontract: De DPA is in tegenspraak met bepalingen in het hoofdcontract.
  4. Geen schriftelijke overeenkomst: Een mondelinge afspraak is onder de AVG niet voldoende.
  5. Geen regelmatige herziening: De DPA wordt niet regelmatig gecontroleerd en bijgewerkt.
  6. Geen afspraken over datalekken: De procedure bij een datalek is onduidelijk.

Als er een hoofdcontract is, staat Agreement dan voor Addendum?

Dat is een veelvoorkomende gedachte, maar het klopt niet helemaal. In de context van een hoofdcontract kan DPA inderdaad als een Data Processing Addendum worden gebruikt. De term DPA staat echter in de basis voor Data Processing Agreement, wat in feite een overkoepelende term is voor elke juridische afspraak over gegevensverwerking, ongeacht of het een losstaand document of een bijlage is.

Het subtiele verschil tussen agreement en addendum

Het subtiele verschil tussen een Data Processing Agreement (DPA) en een Data Processing Addendum zit vooral in de context waarin ze worden gebruikt, hoewel ze inhoudelijk en juridisch hetzelfde doel dienen.

  • Een DPA (Agreement) wordt vaak gebruikt als een op zichzelf staand, los document.
  • Een Addendum is een bijlage of aanvulling op een reeds bestaand contract. Beide termen verwijzen naar de juridische overeenkomst die de relatie tussen een verwerkingsverantwoordelijke en een verwerker regelt, maar de benaming “addendum” benadrukt de rol als een toegevoegd document.

Zo kan het voorkomen dat leveranciers hun verwerkersovereenkomst hebben opgenomen in de algemene voorwaarden van hun onderneming.

De verwerkersovereenkomst als onmisbare schakel in AVG-compliance, een samenvatting

  • Kernbegrip: Een verwerkersovereenkomst, of Data Processing Agreement (DPA) in het Engels, is een verplicht document vanuit de AVG dat de afspraken regelt tussen een verwerkingsverantwoordelijke en een verwerker.
  • Terminologie: Hoewel DPA en Data Processing Addendum beide als term worden gebruikt, is het belangrijk het subtiele verschil te benadrukken. Een DPA kan een zelfstandig contract zijn, terwijl een addendum altijd een bijlage is bij een ander contract.
  • Wanneer verplicht: Een DPA is verplicht wanneer een partij persoonsgegevens verwerkt namens een andere partij.
  • Essentiële inhoud: Een DPA moet specifieke, verplichte onderwerpen bevatten, zoals de aard en duur van de verwerking, de beveiligingsmaatregelen, afspraken over sub-verwerkers en de procedure bij datalekken.
  • Gevolgen van het ontbreken: Het niet hebben van een DPA kan leiden tot boetes, juridische aansprakelijkheid en verlies van vertrouwen.

De verwerkersovereenkomst, of Data Processing Agreement (DPA), is meer dan alleen een formeel document. Het is de juridische basis voor een veilige en AVG-conforme gegevensverwerking. Of het nu een op zichzelf staande overeenkomst of een addendum is, de functie blijft hetzelfde: het vastleggen van heldere afspraken over de verwerking van persoonsgegevens. Het negeren van deze plicht leidt tot aanzienlijke risico’s, variërend van forse boetes tot reputatieschade en aansprakelijkheid bij datalekken. Door een DPA zorgvuldig op te stellen en te onderhouden, creëer je niet alleen een veilige omgeving voor de persoonsgegevens, maar bouw je ook het vertrouwen op dat essentieel is in de digitale economie.

LinkedIn GroupDiscussieer mee op ITpedia LinkedIn of op Financial Executives LinkedIn.
Samenvatting
De Verwerkersovereenkomst: Bescherming van persoonsgegevens onder de AVG
Artikel
De Verwerkersovereenkomst: Bescherming van persoonsgegevens onder de AVG
Beschrijving
De verwerkersovereenkomst is een onmisbaar contract voor elke organisatie die persoonsgegevens door een derde partij laat verwerken. Wanneer is een DPA verplicht? Wat is de essentiële inhoud en wat zijn de risico's als deze ontbreekt? Begrijp de rollen van verwerkingsverantwoordelijke en verwerker en ontdek hoe een correcte verwerkersovereenkomst helpt om boetes, datalekken en reputatieschade te voorkomen, en zo zorgt voor naleving van de AVG.
Auteur
Publisher Naam
ITpedia
Publisher Logo

Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.

Laatste artikelen

Sidebar