Wat is een verwerkersovereenkomst en is het verplicht?

Er zijn nog veel bedrijven die weinig kennis hebben over wat nu eigenlijk een verwerkersovereenkomst is. Ook heerst er veel onduidelijkheid of een verwerkersovereenkomst verplicht is. In deze blog gaan wij u hier meer over vertellen. Na het lezen van de blog weet u wat een verwerkersovereenkomst is en of deze voor u verplicht is.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst sluit u af met het bedrijf welke uw persoonsgegevens gaat verwerken. Stel u gaat gebruik maken van cloud diensten via een cloud provider, zoals hosting, online back-up, SaaS of DaaS, dan is er op dat moment sprake van verwerking.

Waarom vraagt u zich af? Een cloud provider zorgt ervoor dat uw gegevens worden opgeslagen en/of online beschikbaar worden gesteld. Dit wordt volgens de wet gezien als verwerken. De partij die verwerkt wordt ook wel een verwerker genoemd. Naast een verwerker is er ook een verwerkersverantwoordelijke voor de persoonsgegevens. Dit is degene die de gegevens heeft verzameld en opdracht heeft gegeven aan een externe partner, de verwerker, om persoonsgegevens te gebruiken voor bepaalde doeleinden.

Mocht u andere zaken uitbesteden aan een externe partner en daar worden persoonsgegevens -onder andere- verzameld, bewaard, bijgewerkt, gewijzigd, gebruikt, verspreid, vernietigd etcetera dan is er ook sprake van verwerking.

Een verwerkersovereenkomst is niet direct nodig wanneer u geheel (lokaal) on-premise werkt en dus niets uitbesteed aan externe partijen waardoor er geen sprake is van het verwerken van persoonsgegevens.

Verwerkersovereenkomst verplicht?

Wet bescherming persoonsgegevens

In artikel 14 lid 2 van de Wet bescherming persoonsgegevens (WBP) is bepaald dat de uitvoeringen van de verwerkingen door een verwerker moeten worden geregeld in een overeenkomst of een andere rechtshandeling. Daarnaast geeft de Wbp aan dat u als verantwoordelijke een verwerkersovereenkomst dient te laten ondertekenen door de verwerker.

Toezicht

De verwerkersverantwoordelijke blijft te allen tijde verantwoordelijk en zal dus ook goed moeten opletten wat er precies in de overeenkomst staat en/of deze voldoende is.

Wat moet er in een verwerkersovereenkomst staan?

Nu u weet of een verwerkersovereenkomst nodig is, komt de vraag “wat is de volgende stap”? Dat is het opstellen van een dergelijke overeenkomst met uw verwerker. Welke onderwerpen dient u te beschrijven? Ons advies is om de volgende items op te nemen in de verwerkersovereenkomst.

Bewerking op basis van instructie

De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken maar alleen voor datgene waar de verantwoordelijke instructie voor geeft. U zult hier moeten omschrijven voor welke doeleinden de verwerker, externe partij, de persoonsgegevens mag gebruiken en welke middelen hiervoor gebruikt mogen worden.

Geheimhouding

In een geheimhoudingsverklaring geeft u aan dat een verwerker een geheimhoudingsplicht heeft ten aanzien van de persoonsgegevens. Dit betekent dat de verwerker niet zomaar gegevens mag doorsturen naar sub-verwerkers. Om te voorkomen dat dit wel wordt gedaan kunt u hier een boeteclausule voor opnemen. Overigens is het opzettelijk niet-naleven van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.

Beveiligingsmaatregelen

De verantwoordelijke zal zorg moeten dragen voor de beveiliging van de persoonsgegevens. Zo zal de verantwoordelijke toezicht moeten houden of de verwerker passende technische en organisatorische maatregelen heeft genomen om de gegevens te beveiligen tegen eventueel verlies van de data.

Deze afspraken mogen niet te algemeen worden omschreven zoals “de verwerker zorgt voor een passende en adequate beveiliging van de persoonsgegevens”. Een voorbeeld van hoe het wel moet: “de verwerker zal digitale persoonsgegevens uitsluitend transporteren via een met SSL-techniek versleutelde verbinding”. De afnemer van de clouddiensten (in de wet de verantwoordelijke genoemd), moet bepalen welke maatregelen nodig zijn om te voldoen aan de wettelijke beveiligingsplicht (artikel 13 Wbp), niet de verwerker. De verantwoordelijke dient dus verstand te hebben van beveiliging of anders daar advies over in te winnen.

Locatie van de data

De verantwoordelijke moet weten in welk land (of landen) de data wordt opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland. Zo mogen persoonsgegeven niet zomaar buiten Europa opgeslagen worden.

Audits

De verantwoordelijke heeft het recht om de beveiliging door een deskundige te laten inspecteren. Dit gebeurt vaak in de vorm van een audit, een onderzoek door de verantwoordelijke of door een onafhankelijke derde partij. In de verwerkersovereenkomst kunnen partijen hier nadere afspraken over maken.

Aansprakelijkheid bij datalekken

De wet bepaalt dat de verantwoordelijke kan worden aangesproken als een relatie van de verantwoordelijke schade lijdt doordat de Wet Bescherming Persoonsgegevens niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling. Ook zult u moeten opnemen hoe u beiden acteert wanneer zich een datalek heeft voorgedaan.

Kunnen wij u van dienst zijn?

Voor zowel de verantwoordelijke (cloud afnemer) als de verwerker (cloudprovider) is een verwerkersovereenkomst noodzakelijk. Niet alleen om tot een overeenstemming te komen tot een verdeling van de aansprakelijkheid van eventuele schade die onverhoopt ontstaat bij de verwerking van de persoonsgegevens. Mocht u na het voorbeeld van onze verwerkersovereenkomst hulp nodig hebben bij het opstellen van een overeenkomst dan kunt u contact opnemen met een van onze specialisten. U kunt ons bereiken op telefoonnummer 088 – 751 0202 of mail naar info@forallit.nl.