AVG en Verwerkersovereenkomsten: wat moet je regelen?

Volgens de AVG zijn een aantal afspraken en documenten verplicht, waaronder de verwerkersovereenkomst. Deze moet een verwerkingsverantwoordelijke sluiten met een verwerker. Zelf zo’n document schrijven? Je voelt hem al aankomen: een uitgebreide blogpost over verwerkersovereenkomsten. Neem een kop koffie, zet je leesbril op en eh, concentreer je.

Echt een overeenkomst?

De verwerkersovereenkomst hoeft geen aparte overeenkomst te zijn, maar zijn een aantal afspraken tussen een verwerkingsverantwoordelijke en de verwerker. Dit heette onder de Wbp nog een bewerkersovereenkomst. Een aantal zaken moeten daarin verplicht geregeld worden. Als je samenwerkt met grotere ondernemingen, is het in de meeste gevallen een kwestie van opvragen en akkoord gaan.

Wanneer ben je verwerkingssverantwoordelijke?

Een verwerkingsverantwoordelijke is de partij die persoonsgegevens verwerkt en voor die verwerking het doel en de middelen bepaalt. Een verwerkingsverantwoordelijke verwerkt gegevens voor zichzelf en niet voor een ander.

Als verwerkingsverantwoordelijke bepaal je dus waarom persoonsgegevens worden verwerkt en hoe dat gedaan zal worden.

Gezamenlijk verwerkingsverantwoordelijke

Het kan zijn dat meerdere personen, bedrijven of organisaties voor dezelfde persoonsgegevens de verwerkingsverantwoordelijke zijn. Dat noemen we dan gezamenlijk verwerkingsvernatwoordelijken. De organisaties bepalen dan gezamenlijk het doel en de middelen van de verwerking.

Er moeten onderling afspraken gemaakt worden over hoe de verantwoordelijkheden verdeeld worden.

Verwerker

Een verwerker verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. Een verwerker verricht de verwerking namens de verwerkingsverantwoordelijke. Een verwerker mag juist niet zelf doel en middelen bepalen, maar mag alleen de persoonsgegevens verwerken zoals dat is omschreven in de opdracht. Een verwerker mag dus niet voor zichzelf verwerken.

Gaan er geen persoonsgegevens naar de verwerker toe, (maar wel andere gegevens), dan is er geen verwerkersovereenkomst nodig, omdat de verwerker dan geen persoonsgegevens verwerkt en dus niet een verwerker is in de zin van de AVG.

Eigenlijk besteedt een verwerkingsverantwoordelijke een deel van de verwerking uit aan een verwerker.

Denk bijvoorbeeld aan het opslaan van de gegevens in de cloud, op servers. Of het opslaan van namen en e-mailadressen in een nieuwsbriefsysteem dat ook de e-mails verzendt. Wat dacht je van een (online) boekhoudsysteem waar alle persoonsgegevens in komen te staan? Of de VA die misschien wel offertes opstelt, het CRM systeem bijhoudt of uitnodigingen verstuurt.

Elk persoon, bedrijf of elke onderneming die voor iets of iemand anders met de persoonsgegevens in aanraking komt, is een verwerker.

En tussen een verwerkingsverantwoordelijke en een verwerker moeten afspraken gemaakt worden.

Voorbeeld verwerkers

Wie kunnen verwerkers zijn?

Software, met name als ze persoonsgegevens opslaan (niet op jouw eigen computer of harde schrijf) of daar subverwerkers voor inschakelen, zoals:
CRM-systeem, nieuwsbriefsoftware, boekhoudsoftware, e-mailservers, hosting

Personen en diensten die je inschakelt, zoals:
boekhouder of accountant, VA, direct marketingbedrijf, verzendmaatschappij

Wie zijn GEEN verwerkers?

Niet iedereen die persoonsgegevens te zien krijgt, is meteen een verwerker. Denk aan medewerkers, vrijwilligers en andere personen die onder jouw gezag vallen. (Dit is anders met een VA, die vaak zelf ook de persoonsgegevens ontvangt en verwerkt en veel meer zelfstandig is). Net zoals je geen verwerkersovereenkomst sluit met de persoon waarvan je de gegevens verwerkt (je hebt wel of alleen een informatieplicht). Ook niet met bedrijven aan wie je persoonsgegevens doorgeeft of toestuurt, maar niet in jouw opdracht er iets mee doen. Zij zijn dan namelijk zelf verwerkingsverantwoordelijke.

Checklist: Verwerkersovereenkomst

De verwerkersovereenkomst is een overeenkomst of andere rechtshandeling waarin een aantal afspraken verplicht moeten worden vastgelegd. Dit kan dus een aparte overeenkomst zijn, maar de bepalingen mogen ook in een ander contract of in algemene voorwaarden worden opgenomen. Het gaat erom dat de nodige verplichte afspraken worden gemaakt:

  • Persoonsgegevens mogen door de verwerker alleen verwerkt worden op basis van de instructies van de verwerkingsverantwoordelijke;
  • Werknemers en andere door de verwerker ingeschakelde personen moeten vertrouwelijkheid in acht nemen. Een geheimhoudingsbeding is dus verstandig;
  • Er moeten passende organisatorische en technische beveiligingsmaatregelen worden getroffen;
  • Alleen met toestemming van de verwerkingsverantwoordelijke mag de verwerker een subverwerker inschakelen. Dit kan als een algemene of specifieke toestemming worden opgenomen;
  • Als er een subverwerker wordt ingeschakeld, moet aan deze partij door de verwerker dezelfde verplichtingen worden opgelegd als die de verwerker van de verwerkingsverantwoordelijke opgelegd heeft gekregen;
  • De verwerker moet meewerken aan het uitoefenen van de rechten van betrokkenen;
  • De verwerker moet datalekken tijdig melden aan de verwerkingsverantwoordelijke, op zo’n manier dat de verwerkingsverantwoordelijke aan diens verplichtingen kan voldoen;
  • De verwerker moet meewerken aan een DPIA (gegevensbeschermingeffectenbeoordeling);
  • Na afloop van de overeenkomst moet de verwerker de persoonsgegevens teruggeven aan de verwerkingsverantwoordelijke of deze vernietigen (per saldo moet de verwerker natuurlijk ook na teruggave nog vernietigen, want de verwerker mag de persoonsgegevens gewoon niet meer bezitten);
  • De verwerker moet alle afspraken nakomen en meewerken aan het controleren daarvan, door mee te werken aan audits en inspecties.

EU model clauses

In plaats van alles wat hierboven genoemd staat, dat in een verwerkingsovereenkomst opgenomen moet worden, kan er ook voor gekozen worden om gebruik te maken van de zogenaamde EU model clauses of de standaard conctractsbepalingen. Deze bepalingen zijn goedgekeurd door de Europese Commissie.

De oude versies daarvan voor het doorgeven van persoonsgegevens naar landen (of bedrijven gevestigd in landen) buiten de EU of EER kun je vinden op de site van de Europese Commissie.

Lijst van verwerkerssovereenkomsten

We kunnen niet natuurlijk niet van elke onderneming de verwerkersovereenkomsten opzoeken. Al is het maar om de hoeveelheid bedrijven die er bestaan. Ook heeft niet elke verwerker deze bepalingen online gepubliceerd. Van een aantal grote partijen hebben we het opgezocht, waarvan je hieronder de link kunt vinden. Als het niet in de lijst staat, hebben wij het niet opgezocht of niet kunnen vinden.

Mollie, Sisow, iZettle en andere betaaldiensten vinden dat zij enkel zelf verwerkersverantwoordelijke zijn. Daar ben ik het niet geheel mee eens, omdat je in veel gevallen als ondernemer toch persoonsgegevens naar ze toe stuurt en weer andere persoonsgegevens terugkrijgt. Er zijn dus onderdelen waarbij er sprake is van gezamenlijk verwerkingsverantwoordelijke. Daar doen we nu helaas weinig aan.

Hulp bij de AVG nodig?

Comments

  1. Rachelle says:

    Wat moet je doen als je een reseller bent van een systeem?

  2. Ik heb een internationale community website die alleen voor leden toegankelijk is.
    Deze leden zijn artiesten op zoek naar optredens in de EU en
    locaties zoals clubs en festivals die op zoek zijn naar artiesten.

    In het besloten gedeelte vult de artiest gegevens in over zichzelf zoals contact gegevens maar ook een gage indicatie en bijvoorbeeld een btw nummer. Dit is zichtbaar voor de locaties/festivals/inkopers. De locaties delen hun contact gegevens met de zoekende artiesten.

    Is hier ook een privacy verklaring voor en wat heb ik nog meer eventueel nodig?

  3. Dank voor dit artikel! Helder, en gelukkig heb ik al veel verwerkersovereenkomsten binnen.

    Ik vind het vooral interessant wat je zegt over de betaaldiensten. Ik trok m’n wenkbrauwen namelijk ook op toen ik deze mededeling van sisow voorbij zag komen in m’n mailbox.
    Mocht dit nou toch niet kloppen, wie is hier verantwoordelijk voor?

  4. Heb hier toch nog een vraag over met betrekking tot dropshipment en vervoerders? In beide gevallen geef je dus ook privacy gegevens door. Moet er dan ook altijd een verwerkingsovereenkomst zijn. Zeker in het logistieke proces kunnen er partijen bij zijn waar je niet direct zicht op heb. Hier is dus heel erg weinig over te vinden op het web.

  5. Ik zou willen navragen hoe het zit met wordpress plugins voor contactformulieren, zoals bijvoorbeeld ninja forms, gravity forms, contact form 7 etc. Heb je hier altijd een verwerkingsovereenkomst voor nodig, of alleen wanneer je de berichten in wordpress opslaat?
    Met vriendelijke groet

  6. Ik maak op onregelmatige basis gebruik van een printershop om Insights profielen te laten printen en inbinden. In profiel staat een naam en soms een adres. De files van de profielen load ik up. Moet ik met de printschop een verwerkersovereenkomst afsluiten?

  7. Lammy Otter says:

    Hallo,
    Mijn coachpraktijk is net opgestart.
    Ik heb een vraag naar aanleiding van AVG.
    Zelf zou ik niet weten waar de coachees terecht kunnen met een klacht, behalve bij mij natuurlijk als coach. Welke organisatie is daarnaast nodig?
    Alle gegevens wis ik na een traject.
    Samen met mijn partner doen we de administratie/belastingzaken.

  8. Berdien says:

    Bedankt voor alle informatie! Heel erg fijn!
    Ik vraag me af hoe zit het met Facebook en de Facebookbedrijven zoals What’s app en Instagram? Zij hebben hun algemene voorwaarden e.d aangepast zodat ze voldoen aan de AVG. Zij hebben geen aparte verwerkersovereenkomst of sluit je deze ‘automatisch’ als je akkoord gaat met hun nieuwe voorwaarden? En is dit dan ook voldoende of moet je nog een aparte overeenkomst met ze sluiten?

  9. Eugenie says:

    Dag Charlotte,
    Als fotograaf maak ik regelmatig gebruik van leveranciers van fotografisch producten als prints, fotoboeken e.d. Daarvoor upload ik dus foto’s (oftewel persoonsgegevens) en adresgegevens voor de bezorging bij mijn opdrachtgevers. Dit is bij grote commerciële partijen, die niet alleen voor professionals werken. Moet ik met deze partijen een verwerkersovereenkomst afsluiten? Of kan ik volstaan met verwijzen naar hun privacybeleid? Ik zou dat heel graag weten en ik kan dat vooralsnog nergens vinden.
    Alvast bedankt.

  10. Moet ik onderaan mijn privacyverklaring ook álle verwerkersovereenkomsten linken? Dus een waslijstje met de dpa’s van Microsoft, Google, Backblaze, Dropbox, WeTransfer, Adobe – en ga zo maar door?

  11. Amanda Hendriks says:

    De link naar de overeenkomst met Microsoft Office 365 werkt niet. Wat is de juiste link?

  12. Hoi Charlotte,

    Wat ik niet helemaal snap: veel van de grote jongens zoals Microsoft en Facebook verwijzen alleen naar geupdate terms of een privacyverklaring. Ik kan me ook voorstellen dat het voor hen veel te veel is om iedere gebruiker een verwerkersovereenkomst af te sluiten, maar zijn die nieuwe terms alleen dan voldoende?

  13. Matthijs says:

    Waardevolle informatie, dank.

    Wat ik me afvraag is: wat is verstandig te doen als klein webdesign bedrijf? Aangezien ik voor bijna alle klanten wel onderhoud aan websites pleeg en backups maak van bijvoorbeeld database (waar persoonsgegevens in staan), moet ik met ieder een verwerkersovereenkomst afsluiten. Het is als ZZP-er echter niet te doen om met 50 of meer klanten apart overeenkomsten af te sluiten. Is het ook voor mij voldoende om een standaard verwerkersovereenkomst online te zetten, zoals ook Google e.d. doen?

Speak Your Mind

*