Verwerkersovereenkomst opstellen

De verwerkersovereenkomst en de AVG

Organisaties schakelen vaak derde partijen in om persoonsgegevens voor hen te verwerken. Dit komt omdat het efficiënter en kosteneffectiever kan zijn om bepaalde taken, zoals de boekhouding of de opslag van gegevens, uit te besteden.

Wanneer een organisatie persoonsgegevens verwerkt namens een andere partij, staat zij bekend als een verwerker.

Volgens de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens een juridisch bindende overeenkomst hebben met hun verwerkers. In deze overeenkomst worden de rollen en verantwoordelijkheden van elke partij vastgelegd en wordt ervoor gezorgd dat persoonsgegevens op een rechtmatige en transparante manier worden verwerkt.

Onze privacy experts kunnen jouw organisatie helpen bij het opstellen van een verwerkersovereenkomst die aan alle wettelijke vereisten voldoet. Neem contact met ons op om aan de slag te gaan.

"Organisaties schakelen vaak derde partijen in om persoonsgegevens te verwerken."

Wat is een licentieovereenkomst

Verwerkersovereenkomst: wat moet erin staan?

Bij Spaans&Spaans begrijpen we dat niet alle bedrijven gelijk zijn. Daarom bieden wij een verwerkersovereenkomst op maat, die aansluit op de specifieke behoeften van jouw organisatie. Daarvoor moeten we wel eerst beoordelen welke rol jouw organisatie heeft in de gegevensverwerking: verwerkingsverantwoordelijke of verwerker? Vervolgens stellen we snel de juiste overeenkomst op, zodat je privacy proof weer verder kan.

In de verwerkersovereenkomst die we voor je maken staat in ieder geval iets over:

  • Doel van de gegevensverwerking, duur van de verwerking, het type gegevens dat wordt verwerkt en van wie (categorieën van de betrokkenen) er gegevens worden verwerkt.
  • Subverwerkers waarvan de verwerker gebruikmaakt. Deze subverwerkers dienen onderworpen te worden aan dezelfde AVG-eisen als de oorspronkelijke verwerker. Bovendien mag de verwerker alleen subverwerkers inschakelen met toestemming van de verwerkingsverantwoordelijke. Hierover moeten afspraken worden gemaakt in de verwerkersovereenkomst.
  • De beveilingsmaatregelen die zijn getroffen. Als het om persoonsgegevens gaat, moet de verwerker passende technische en organisatorische maatregelen nemen om de verwerking te beveiligen. Denk bijvoorbeeld aan pseudonimisering en versleuteling van persoonsgegevens, regelmatige beveiligingstests, en meer. Door deze voorzorgsmaatregelen te nemen, kan de verwerker ervoor helpen zorgen dat de gegevens veilig en beveiligd zijn. Het opnemen van een overzicht van de getroffen beveiligingsmaatregelen in de verwerkersovereenkomst, is gebruikelijk.
  • Audits. Artikel 28 van de AVG vereist dat verwerkers meewerken aan een audit van de verwerkingsverantwoordelijke of die van een derde partij.
  • Datalekken. Een datalek is een incident waarbij persoonsgegevens verloren gaan, worden gestolen of anderszins openbaar worden gemaakt. Dit kan gebeuren door hacking, accidentele vrijgave of simpelweg door slechte beveiliging. Een datalek kan ernstige gevolgen hebben voor de betrokken personen, waaronder identiteitsdiefstal, financiële fraude en verlies van privacy. Daarom is het belangrijk om hier in de verwerkersovereenkomst duidelijke afspraken over te maken.
  • Verwijderen gegevens. Nadat de verwerkingsdiensten zijn beëindigd, heeft de verwerker de persoonsgegevens vaak niet meer nodig. Het is aan de verwerkingsverantwoordelijke om te bepalen wat er vervolgens met de persoonsgegevens gebeurt: moet de verwerker de gegevens wissen of vernietigen? In veel gevallen zal de verwerker de gegevens wissen. In sommige gevallen kan de verwerker echter wettelijk verplicht zijn de gegevens te bewaren.

Tips voor het opstellen van een verwerkersovereenkomst

Zoals elke organisatie die met gegevens omgaat (hopelijk) weet, is het belangrijk om een goed opgestelde verwerkersovereenkomst te hebben. Niet alleen helpt dit om de gegevens te beschermen, maar het helpt ook om ervoor te zorgen dat de organisatie voldoet aan alle relevante wet- en regelgeving. Het opstellen van een verwerkersovereenkomst kan echter een ontmoedigende taak zijn, en veel organisaties weten niet goed waar ze moeten beginnen. Het goede nieuws is dat de Autoriteit Persoonsgegevens (AP) een verkennend onderzoek heeft gedaan naar verwerkersovereenkomsten en met concrete tips is gekomen over waar je op moet letten. Zo geeft de AP als tip om duidelijke afspraken te maken over de wijze van het maken van bezwaar tegen het inschakelen van een (nieuwe) subverwerker. Het kan bijvoorbeeld nuttig zijn een termijn af te spreken waarbinnen een verantwoordelijke bezwaar kan maken tegen de nieuwe subverwerker. Meer lezen? Zie hier het rapport van de AP.

Page not found

Verwerkersovereenkomst opstellen

Natuurlijk is ondernemen ook risico’s nemen, maar dan liever wel de risico’s die je zélf hebt gekozen. Daarom helpen we je bij het neerzetten van jouw juridische structuur. 

Jurist commerciële contracten

Page not found

Verwerkersovereenkomst opstellen

Neem gerust contact met ons op.

Juridisch advies voor ondernemers
Scroll naar top

Waar kunnen we bij helpen?