PRIVACYWETGEVING - 21.04.2021

Een verwerkersovereenkomst met een derde verplicht?

Wanneer een derde partij persoonsgegevens van u verwerkt, bijv. via een registratiesysteem op uw website, dan is het wettelijk verplicht om een verwerkersovereenkomst met deze derde af te sluiten. Waar moet u dan aan denken?

Verwerkersovereenkomst nodig?

Indien u bijv. een webshop heeft, dan verzamelt u de persoonsgegevens van uw klanten. U slaat deze gegevens ook op en gebruikt ze. Volgens de Algemene verordening gegevensverwerking (AVG) bent u daarom de verwerkingsverantwoordelijke. Wanneer u daarbij gebruikmaakt van de diensten van een derde partij (partij X) die werkt onder uw instructies, dan is partij X een verwerker.

Wat houdt dit in? Partij X heeft geen eigen verantwoordelijkheid onder de AVG, maar u heeft deze wel. Het is belangrijk deze verantwoordelijkheid en aansprakelijkheid te delen en schriftelijk vast te leggen. Zo kunt u partij X houden aan de eisen van de AVG. In een verwerkersovereenkomst maakt u afspraken over wat partij X mag verwerken, waarom zij dat doen en hoe zij dat doen.

Voor meer informatie over de AVG, ga naar https://www.tipsenadvies.nl , Download Zone, jaargang 27, nr. 17.

Wat moet er in zo’n overeenkomst staan?

Inhoud. Het gaat erom dat de beveiliging van de persoonsgegevens op orde is. Partij X dient hier op een verantwoorde manier mee om te gaan en de gegevens niet te gebruiken voor andere doelen dan waar u opdracht voor heeft gegeven, zoals het doorverkopen van de gegevens.

  • Om welke persoonsgegevens gaat het?
  • Van wie zijn deze persoonsgegevens? U kunt denken aan uw werknemers, uw sollicitanten of uw klanten.
  • Wat is het doel van de verwerking?
  • De verwerking vindt plaats op uw instructie en niets mag voor eigen doeleinden gebruikt worden.
  • Rechten en verplichtingen van de verwerkersverantwoordelijke.
  • Een plicht tot geheimhouding.
  • Afspraken over eventuele onderaannemers. Indien dit er meer dan een is, is het handig hiervan een lijst te ontvangen en op z’n minst vooraf te worden geïnformeerd bij een wijziging van onderaannemer. Het gaat immers om ‘uw’ gegevens.
  • Beveiligingsmaatregelen (passende maatregelen die partij X moet nemen): waar worden de gegevens opgeslagen en hoe, wie kan er bij de gegevens en op welke manier, etc.
  • In het geval dat er sprake is van een datalek, moet partij X dit zo spoedig mogelijk aan u laten weten, uiterlijk binnen 48 uur, want u heeft zelf maar 72 uur om dit te onderzoeken voordat u dit dient te melden bij de Autoriteit Persoonsgegevens.
  • Duur van de verwerking.

Download een model Verwerkersovereenkomst van https://www.tipsenadvies.nl , Download Zone, jaargang 27, nr. 17.

Wanneer in overtreding?

In de overeenkomst mogen geen afspraken staan die in strijd zijn met de AVG. Accepteert u deze toch, dan bent u in overtreding en riskeert u een boete. Mocht het niet lukken om een verwerkersovereenkomst met partij X af te sluiten, maar u gaat toch door met de samenwerking, dan bent u beide in overtreding. In dat geval is het verstandiger om niet langer samen te werken met deze partij en een andere partij te zoeken waarmee u wel een overeenkomst kunt afsluiten.

Als u persoonsgegevens verwerkt, bijv. in uw webshop, bent u wettelijk verplicht om met een verwerker een verwerkersovereenkomst af te sluiten. Zorg dat de overeenkomst de lading voldoende dekt en daarmee toereikend is.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01