Maak je voor de verwerking van persoonsgegevens binnen jouw bedrijf – bijvoorbeeld gegevens van klanten of medewerkers - gebruik van diensten van leveranciers die ook toegang hebben tot deze gegevens?
Dan mag je uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen. En bij wie bovendien de bescherming van de rechten van individuen is geborgd.
Verwerker
Denk hierbij aan leveranciers voor de webshop of salarisadministratie. Deze leveranciers worden in het kader van de AVG ‘verwerker’ genoemd. De afspraken met verwerkers over de verwerking van persoonsgegevens moet je vastleggen in:
een verwerkersovereenkomst;
of in andere bindende afspraken.
Dit wil zeggen dat je zelf mag bepalen hoe je de afspraken vastlegt, mits het jou en de leverancier maar bindt. Zo kan je afspraken en voorwaarden bijvoorbeeld ook vastleggen in een paragraaf bij de dienstverleningsovereenkomst of opnemen in de algemene voorwaarden.
Let op! Voorwaarde is dat de vastlegging van afspraken en voorwaarden in schriftelijke of in digitale vorm gebeurt.
Verwerken is een breed begrip. Volgens de AVG gaat het onder andere om: het opslaan, wijzigen, raadplegen, doorzenden, verzamelen, opvragen en vernietigen van persoonsgegevens. Samengevat: alles wat je met persoonsgegevens kunt doen.
Wat moet er worden vastgelegd in een verwerkersovereenkomst?
De volgende onderdelen moeten op basis van de AVG minimaal worden vastgelegd:
1. Verwerkingsverantwoordelijke en verwerker
Duidelijk moet zijn dat jouw bedrijf verwerkingsverantwoordelijke is voor de persoonsgegevens en de ingeschakelde leverancier verwerker.
2. Instructies
De verwerker verwerkt de persoonsgegevens alleen op basis van jouw (schriftelijke) instructies, met het doel uitvoering te geven aan de dienstverleningsovereenkomst, tenzij verwerking verplicht is op basis van een wettelijk voorschrift.
3. Categorieën persoonsgegevens
De verwerker verwerkt alleen die persoonsgegevens die vereist zijn om de opdracht uit te kunnen voeren. Daaronder vallen bijvoorbeeld naam, adres, telefoonnummer, e-mailadres van consument of medewerker. De categorieën van persoonsgegevens die verwerkt worden, worden opgenomen in een bijlage bij de verwerkersovereenkomst.
4. Geheimhouding
De verwerker is verplicht tot geheimhouding van de persoonsgegevens die hij van jou ontvangt, tenzij een wettelijk voorschrift de verwerker tot mededelen verplicht. Verwerker waarborgt dat de degenen die onder zijn gezag persoonsgegevens verwerken, gebonden zijn aan geheimhouding. Dit geldt dus ook voor de door de verwerker ingeschakelde onderaannemers (zie hieronder bij sub-verwerkers).
5. Technische en organisatorische (beveiligings)maatregelen
De verwerker moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zorgen voor een adequaat niveau van bescherming. De door verwerker genomen beveiligingsmaatregelen worden omschreven in een bijlage bij de verwerkersovereenkomst of afzonderlijk vermeld op bijvoorbeeld de website van het bedrijf.
6. Privacyrechten betrokkenen
De verwerker zal alle medewerking verlenen om er voor te zorgen dat je kan voldoen aan de verplichtingen richting betrokkenen (dit zijn de klanten of medewerkers). Je bent verantwoordelijk voor het informeren van betrokkenen en het reageren op verzoeken, zoals het verzoek tot inzage, rectificatie of wissen van persoonsgegevens. Als een betrokkene de uitoefening van zijn/haar rechten rechtstreeks aan de verwerker richt, moet hij/zij dit verzoek naar jou door sturen.
7. Recht op audit
Je hebt periodiek het recht een geautoriseerde derde partij een controle uit te laten voeren om te checken of de verwerker voldoet aan de verplichtingen uit de AVG. Tenzij voor de betreffende dienst bijvoorbeeld een assurance-verklaring of certificering beschikbaar is.
8. Doorgifte
Zonder voorafgaande (schriftelijke) toestemming van jou als opdrachtgever, is het de verwerker niet toegestaan persoonsgegevens te verwerken en/of door te geven aan derden in landen buiten de Europese Economische Ruimte.
9. Incidenten en datalekken
De verwerker is verplicht jou zo spoedig mogelijk in kennis te stellen van een incident in verband met persoonsgegevens, zoals een datalek. De verwerker zal alle medewerking verlenen die in redelijkheid van verwerker kan worden verwacht om er voor te zorgen dat je kan voldoen aan de verplichtingen uit de AVG.
10. Sub-verwerkers
Als de verwerker bepaalde werkzaamheden uitbesteedt aan zogenaamde sub-verwerkers, draagt de verwerker er zorg voor dat de sub-verwerker door een schriftelijke overeenkomst is gebonden aan tenminste dezelfde eisen als de verwerker zelf. Voor het inschakelen van een nieuwe sub-verwerker moet je volgens de wet toestemming geven. In een bijlage wordt een overzicht van de huidige sub-verwerkers opgenomen.
11. Bewaren en vernietigen
De verwerker bewaart de persoonsgegevens minimaal gedurende de looptijd van de overeenkomst en zal de persoonsgegevens die hij ten behoeve van zijn werkzaamheden heeft ontvangen daarna indien mogelijk vernietigen dan wel aan jou retourneren.