DPA-Professionals-Privacy-Informatiebeveiliging-verwerkersovereenkomst-René-Glas
Kennis

Verwerkersovereenkomsten: waar moet ik op letten?

Juni 2020. Het RIVM meldt een datalek in Infectieradar, een app waarin circa 22.000 gebruikers wekelijks aangeven of zij klachten hebben die kunnen wijzen op het coronavirus. Voor de programmering van deze app schakelde het RIVM een derde partij in. Die trof onvoldoende technische beveiligingsmaatregelen. In dit praktijkgeval is de relatie tussen verwerkingsverantwoordelijke (het RIVM) en verwerker (de derde partij) van de persoonsgegevens belangrijk. Voorkom dergelijke misstanden als verwerkingsverantwoordelijk bedrijf en gebruik de volgende handvatten bij het opstellen van een verwerkersovereenkomst.

Schakel een verwerker in die afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen voor de verwerking van persoonsgegevens. Dit lijkt een open deur, maar de verantwoordelijkheid voor de persoonsgegevens ligt bij het bedrijf dat deze onder zich heeft. Deze gegevens mag dit bedrijf dan ook niet zomaar aan een willekeurige partij verstrekken. Met alle ingeschakelde verwerkers moet een verwerkersovereenkomst zijn gesloten.

AVG vereisten verwerkersovereenkomst

Volgens de AVG zijn in een verwerkersovereenkomst in ieder geval de volgende zaken opgenomen:

  • het onderwerp, de aard, het doel en de duur van de verwerking, de soort verwerkte persoonsgegevens en de categoriën van betrokkenen; 
  • het recht om schriftelijke instructies aan de verwerker te geven;
  • dat de verwerker passende technische en organisatorische maatregelen moet hebben getroffen (waarbij de minimale eisen moeten zijn opgenomen);
  • het recht de technische en organisatorische maatregelen van de verwerker te (laten) auditen;
  • waarborgen dat het door de verwerker ingezette personeel vertrouwelijkheid in acht neemt;
  • bijstand door de verwerker als zich een datalek voordoet (met vermelding van de 72 uur termijn en gebruik datalekprotocol);
  • bijstand door de verwerker als iemand een verzoek doet tot uitoefening van de hem toekomende AVG-rechten, wanneer diens persoonsgegevens via de verwerker worden verwerkt;
  • bijstand door de verwerker in het geval van een gegevensbeschermingseffectbeoordeling of een voorafgaande raadpleging;
  • na beëindiging van de relatie worden de verwerkte persoonsgegevens naar wens teruggegeven of vernietigd;
  • schakelt de verwerker een (sub)verwerker in, dan is daarvoor toestemming nodig. De verwerker moet datgene wat is overeengekomen doorzetten in de relatie met de (sub)verwerker. De gecontracteerd verwerker blijft volledig aansprakelijk voor het nakomen van de verplichtingen van die (sub)verwerker.

Ontplooit de verwerker zijn activiteiten buiten de EU? Dan zijn er voor de transfer van persoonsgegevens mogelijk aanvullende voorwaarden overeen te komen in een document naast de verwerkersovereenkomst.

Risico’s

Is er geen verwerkersovereenkomst gesloten, dan loopt het verwerkingsverantwoordelijke bedrijf de volgende risico’s:

  • Reputatieschade (‘de onderneming die zijn zaakjes niet voor elkaar heeft’)
  • Een boete van de Autoriteit Persoonsgegevens
  • Claims van medewerkers of klanten (als het bedrijf niet kan aangeven door welke verwerker de persoonsgegevens zijn verwerkt)

Nu praktisch 

Hoe weet een organisatie dat de ingeschakelde verwerkers inderdaad passende technische en organisatorische maatregelen treffen? En dat zij daarmee tijdig over een eventueel datalek informeren? Of dat zij voldoen aan de overige wettelijke vereisten die aan gesloten verwerkersovereenkomsten gesteld worden? Een verwerkersovereenkomst is snel opgesteld (vaak standaard) en getekend, maar welke zekerheid heeft een organisatie dat het goed zit?  

Periodieke toetsing

Als een verwerker kan voorzien in de hiervoor genoemde schriftelijke verklaringen en waarborgen, dan kan een organisatie er in beginsel vanuit gaan dat de verwerking van persoonsgegevens bij hem in goede handen is. Daarom is het opnemen van het recht tot periodieke toetsing (max eens per jaar) dé manier om er zeker van te zijn dat een verwerker de AVG serieus neemt. 

ISO of NEN gecertificeerd

In het geval de organisatie werkt met een ISO of NEN gecertificeerde partij, dan is het van belang dat de scope van het certificaat in lijn is met de eisen die deze organisatie aan de verwerker stelt. Eens per jaar de verlenging van dit certificaat opvragen aan de verwerker, voorkomt dat een bedrijf werkt met een verwerker die niet langer gecertificeerd is. 

Privacy due diligence

Om die reden dient een organisatie in de verwerkersovereenkomst op te nemen dat het verliezen van het certificaat grondslag is voor ontbinding van het contract. Als een verwerker geen certificaten kan tonen of niet in staat is de waarborgen op papier te zetten, kan een extern onderzoek, of privacy due diligence, uitkomst bieden. 

Ondersteuning nodig?

Neem vrijblijvend contact op voor toetsing van verwerkers en de met hen gesloten verwerkersovereenkomsten door middel van een privacy due diligence. Of voor hulp bij het opstellen van verwerkersovereenkomsten. Heb je een ander privacyvraagstuk? Onze privacy professionals denken graag mee over de beste oplossing voor jouw bedrijf.

Contact opnemen
DPA-Professionals-Privacy-informatiebeveiliging-Rene-Glas
René Glas

Principal privacy consultant

Over de auteur

Deze blog is geschreven door René Glas, principal privacy consultant bij DPA. In zijn dagelijkse praktijk ziet hij verwerkersovereenkomsten in veel vormen voorbijkomen en hij deelt daarover graag zijn advies.

Meer weten over onze dienstverlening?

Neem contact op met Paul over
Privacy & Informatiebeveiliging

DPA-Professionals-privacy-informatiebeveiliging-contact-directeur-Paul-Schraven

Paul

Directeur privacy & informatiebeveiliging Bel Paul +31652302240