We merken dat veel ondernemers maar moeilijk uit de voeten kunnen met de verwerkersovereenkomst. Vaak denken ondernemers dat ze het helemaal niet nodig hebben, maar het omgekeerde is waar. Er is al snel sprake van verwerking en dus is er al even snel een verwerkersovereenkomst nodig. We leggen uit wat de verwerkersovereenkomst is en geven aan wanneer je het nodig hebt.
Verschillende partijen verwerken persoonsgegevens
Wanneer een organisatie persoonsgegevens verwerkt, zoals het opslaan van adressen in een CRM-systeem, draagt deze organisatie veel verantwoordelijkheid. Een organisatie moet namelijk correct omgaan met persoonsgegevens. De organisatie moet er bijvoorbeeld voor zorgen dat de persoonsgegevens niet lekken en mag de gegevens niet langer bewaren dan nodig is.
Vaak zal de organisatie die de persoonsgegevens verzamelt niet de enige zijn die met deze persoonsgegevens werkt. Organisaties gebruiken steeds meer externe (cloud)diensten en dan worden er ook persoonsgegevens uitgewisseld. Zo moet je bijvoorbeeld persoonsgegevens van medewerkers doorgeven aan de salarisadministrateur, zoals de naam, het adres en het bankrekeningnummer. Het is bijna de regel dat er persoonsgegevens worden uitgewisseld. Dit houdt steeds een risico op datalekken in, maar er bestaat ook het risico dat de andere partij niet correct met de persoonsgegevens omgaat.
Ten opzichte van het personeel zou het niet correct zijn dat alle verantwoordelijkheid dan bij de salarisadministrateur komt te liggen. Het personeel vertrouwt de werkgever en mag verwachten dat de werkgever correct met deze persoonsgegevens omgaat. Als de werkgever persoonsgegevens doorgeeft, mag het personeel verwachten dat hij dat enkel doet aan partijen die aan de AVG voldoen. De werkgever moet goed over deze persoonsgegevens waken en moet goede afspraken maken met de salarisadministrateur, zodat de persoonsgegevens niet worden misbruikt. Deze afspraken worden vastgelegd in een verwerkersovereenkomst.
Verwerkingsverantwoordelijke en verwerker
In de praktijk maken we een onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. In het aangehaalde voorbeeld is de werkgever de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke blijft altijd verantwoordelijk, ook als hij de persoonsgegevens door iemand anders laat verwerken. De salarisadministrateur in ons voorbeeld is dan weer een verwerker.
Omdat de verwerkingsverantwoordelijke de verantwoordelijkheid blijft dragen, moet hij duidelijke afspraken maken met de verwerker. In een overeenkomst moet worden vastgelegd wat de verwerker al dan niet met de persoonsgegevens mag doen. Zo’n overeenkomst noemen we een verwerkersovereenkomst. Een verwerkersovereenkomst is altijd verplicht wanneer een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker. Dit is ook het geval wanneer bijvoorbeeld een dochterbedrijf de verwerker is.
Of een verwerkersovereenkomst al dan niet nodig is, is altijd afhankelijk van de vraag of een derde de persoonsgegevens verwerkt. Bij SaaS-diensten is dit steeds het geval omdat de gegevens naar de server van een andere partij worden overgebracht. Dit is ook het geval wanneer een derde toegang krijgt tot jouw server met persoonsgegevens, bijvoorbeeld wanneer een freelancer toegang krijgt tot je CRM-systeem. Wanneer het gaat om on-premisesoftware en alle gegevens intern blijven, is er geen verwerkersovereenkomst nodig.
Inhoud van de verwerkersovereenkomst
In de verwerkersovereenkomst zijn afspraken opgenomen omtrent hoe de verwerker met de persoonsgegevens mag omgaan. De inhoud zal telkens anders zijn en is afhankelijk van de taken die de verwerker uitvoert, om welke persoonsgegevens het gaat enzovoort. Hierdoor is de verwerkersovereenkomst heel moeilijk om zelf op te stellen.
In de verwerkersovereenkomst staat bijvoorbeeld te lezen dat de salarisadministrateur de persoonsgegevens enkel mag gebruiken voor salarisadministratie en niet voor zijn persoonlijke marketingactiviteiten. Daarnaast zal de verwerkersovereenkomst bepalen hoelang de salarisadministrateur de gegevens van het personeel mag bijhouden. Ook bevat de verwerkersovereenkomst afspraken over de beveiligingsmaatregelen die de salarisadministrateur moet treffen.
Je merkt dat een verwerkersovereenkomst een heel belangrijk document is om de privacy van het personeel te beschermen. Uiteraard geldt dit niet alleen voor het personeel, maar ook voor anderen waarvan je persoonsgegevens verwerkt.
Het belang van een goede verwerkersovereenkomst
Net omdat een verwerkersovereenkomst zo’n belangrijk document is, is het opstellen ervan cruciaal. Zowel de verwerker als de verwerkingsverantwoordelijke zijn verplicht om samen een verwerkersovereenkomst op te stellen. Wanneer ze dit niet doen, zijn ze in overtreding. Dit wil zeggen dat ze alle twee een boete kunnen krijgen. Bij een datalek zijn de gevolgen mogelijk nog groter en kunnen er ook grote schadeclaims volgen. Daarom kun je maar beter een verwerkersovereenkomst laten opstellen wanneer je een verwerker inschakelt.
Kortom: als je persoonsgegevens doorstuurt naar een server van een derde of een derde op een andere manier persoonsgegevens laat verwerken, heb je een verwerkersovereenkomst nodig. Laat een verwerkersovereenkomst opstellen en plan een intakegesprek in.
