Verwerkersovereenkomst: 9 veelgestelde vragen

• 1. Wat is een verwerker?

  Een verwerker is een partij die in opdracht van een organisatie (de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Dat is bijvoorbeeld de dienstverlener die de ledenadministratie doet. Of de leverancier van online ruimte waar je organisatie persoonsgegevens opslaat (clouddienst).

• 2. Waarom is een verwerkersovereenkomst nodig?

  Met een verwerkersovereenkomst sluit je uit dat de verwerker de persoonsgegevens voor eigen doelen verwerkt. En leg je alle andere afspraken vast, zoals over beveiliging.

• 3. Met wie sluit je een verwerkersovereenkomst af?

  Een verwerkersovereenkomst sluit je af met alle partijen die persoonsgegevens waarvoor jouw organisatie verantwoordelijk is, opslaan, bewaren of bewerken. Bijvoorbeeld met de beheerder van de website, de ledenadministrateur of drukker. Persoonsgegevens zijn bijvoorbeeld naam, (e-mail)adres, telefoonnummers, IP-adres en foto’s.

  Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Want als je de gegevensverwerking door een verwerker laat uitvoeren, dan blijf je nog steeds verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG).

• 4. Wat als de verwerker een onderaannemer of subverwerker inschakelt?

  Als verwerkingsverantwoordelijke patiëntenorganisatie kun je rechtstreeks met de eerste verwerker afspreken onder welke voorwaarden deze subverwerkers mag inschakelen.

  De verwerker schakelt geen subverwerker(s) in zonder jouw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting jou heeft.

  Als de subverwerker zijn verplichtingen niet nakomt, blijft de verwerker volledig aansprakelijk richting de verwerkersverantwoordelijke voor het nakomen van de verplichtingen (zie artikel 28, lid 4 van de AVG).

• 5. Is een verwerkersovereenkomst altijd nodig?

  Nee, die is niet altijd nodig. Wanneer je met een andere partij samenwerkt voor bijvoorbeeld een bijeenkomst, het leveren van een dienst of product, en die partij bepaalt samen met jouw organisatie het doel en de middelen voor de verwerking, dan is er een gezamenlijke verantwoordelijkheid. Een verwerkersovereenkomst is dan niet nodig.

• 6. Wat moet er in een verwerkersovereenkomst staan?

  In ons AVG-stappenplan vind je een modelovereenkomst (Word-bestand). Dienstverleners hanteren vaak een eigen verwerkersovereenkomst, omdat zij voor veel organisaties persoonsgegevens verwerken. Krijg je ook zo’n overeenkomst? Let er dan op dat alle onderdelen van onze modelovereenkomst erin staan.

  Bijvoorbeeld welke soorten persoonsgegevens en van welke categorieën betrokkenen. De doeleinden mogen vrij algemeen omschreven staan, bijvoorbeeld cloudopslag of uitvoeren ledenadministratie.

• 7. Moeten medewerkers van een patiëntenorganisatie ook een verwerkersovereenkomst tekenen?

  Nee, medewerkers vallen onder art. 29 AVG, verwerken onder gezag, en hoeven daarom geen overeenkomst te tekenen.

• 8. Moeten vrijwilligers een verwerkersovereenkomst tekenen?

  Vrijwilligers staan niet onder gezag zoals medewerkers. Als vrijwilligers persoonsgegevens verwerken, is een aanvulling op de vrijwilligersovereenkomst (Word-bestand) voldoende, zie bijlage 7 van ons stappenplan AVG.

• 9. Moet een verwerker ook een register bijhouden van de gegevens die hij verwerkt?

  Ja, ook de verwerker moet een register bijhouden van alle verwerkingsactiviteiten die hij voor een verwerkingsverantwoordelijke verricht, als het om meer dan 250 persoonsgegevens gaat. Zie hiervoor het template voor een register van dataverwerking (Excel-bestand) uit ons stappenplan AVG.

Bekijk ook