Klaar voor de AVG? Verwerkersovereenkomst

Iedereen die toegang heeft tot de persoonlijke gegevens van jouw klanten dient met jou een verwerkersovereenkomst af te sluiten.
Dit kan zijn je boekhouder zijn, maar ook degene die je website beheert of en de provider waar je je website gehost hebt. Vraag daarom aan deze partijen om een verwerkersovereenkomst. Waarschijnlijk zijn ze er al mee bezig of bijna klaar. Daarnaast dien je zelf ook een verwerkersovereenkomst op te stellen als je voor jouw klanten gegevens verwerkt.

De verwerkingsverantwoordelijke en de verwerker

Heb jij een website waarop klantgegevens verwerkt worden, dan ben jij verwerkingsverantwoordelijke. Degene die voor jou gegevens verwerkt is verwerker. Deze termen worden gebruikt in de verwerkersovereenkomst.

Verwerkersovereenkomst

Zo’n verwerkersovereenkomst zou o.a. de volgende onderwerpen kunnen bevatten:

  • welke persoonsgegevens de verwerker verwerkt (wat, hoe en waarom)
  • van welke categorieën personen de verwerker persoonsgegevens verwerkt
  • dat de verwerkingsverantwoordelijke de verwerker hier schriftelijke instructies over geeft
  • dat verwerker vertrouwelijk met de informatie omgaat
  • dat de verwerker zorg draagt voor een veilige verwerking van persoonsgegevens
  • dat de verwerkingsverantwoordelijke vooraf toestemming geeft als de verwerker een andere (subverwerker) in wil schakelen voor de verwerking
  • dat de verwerker de verantwoordelijke ondersteunt om te voldoen aan wensen van betrokken personen (zoals verwijdering, wijziging, inzage of verstrekking van de persoonsgegevens);
  • dat de verwerker de verantwoordelijke assistentie verleent bij andere verplichtingen zoals het melden van datalekken en het uitvoeren van een privacy impact assessment;
  • dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert;
  • dat de verwerker meewerkt aan een onderzoek van de verantwoordelijke naar het naleven van de verplichtingen uit de verwerkersovereenkomst.

Pfff, Wat een klus die AVG

Net als ik zul je ook verzuchten “Wat een klus, die AVG” en iedere keer lijkt er weer iets bij te komen. Het sluiten van een verwerkersovereenkomst is echter wel belangrijk in het kader van de documentatieplicht. Indien er geen verwerkersovereenkomst is, kan dit leiden tot forse boetes. Het is daarom belangrijk om te inventariseren met welke verwerkers jouw bedrijf te maken heeft of voor welk bedrijf jij zelf verwerker bent.

P.s. deze artikelen schrijf ik zelf terwijl ik ook doende ben om aan de AVG te gaan voldoen. Ik heb geen juridische achtergrond. Maar door de informatie leesbaar aan te bieden help ik je wellicht ook weer een stapje verder.

2 reacties

  1. Ondanks dat u een heel duidelijk artikel geschreven heeft heb ik toch nog een vraag. Wij hebben een website en de host is WordPress.
    Moeten wij een verwerkersovereenkomst met hun afsluiten?
    Op onze website worden geen (bijzondere) persoonsgegevens van de bezoekers opgeslagen. In ieder geval niet voor onze praktijk.

    • Waarschijnlijk biedt WordPress.com een link naar een verwerkersovereenkomst aan. Vraag dit anders even na via support van WordPress.com. Indien er een contactformulier gebruikt wordt, kun je ervan uitgaan dat er gegevens verwerkt worden en dat dat gegevens zijn waar WordPress.com op enigerlei wijze toegang tot zou kunnen hebben.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *