Ga naar de hoofdcontent Pijl naar beneden icoon

9 veelgestelde vragen over de verwerkersovereenkomst

De nieuwe privacywet (AVG) is een klein halfjaar van kracht. Waar lopen organisaties nu in de praktijk tegenaan? PGOsupport krijgt veel vragen, bijvoorbeeld over de verwerkersovereenkomst.

Cartoon van Loko Cartoons waarin Sinterklaas op zijn vingers wordt getikt door 2 medewerkers van de Autoriteit Persoonsgegevens omdat hij voor de gegevens in het grote boek geen verwerkersovereenkomst heeft opgesteld. Ze dreigen met een fikse boete.
cartoon van Loko Cartoons, www.lokocartoons.nl

We zetten de belangrijkste vragen en antwoorden over de verwerkersovereenkomst op een rij.

1) Wat is een verwerker?

Een verwerker is een partij die in opdracht van een organisatie (de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Dat is bijvoorbeeld de dienstverlener die de ledenadministratie doet. Of de leverancier van online ruimte waar je organisatie persoonsgegevens opslaat (clouddienst).

2) Waarom is een verwerkersovereenkomst nodig?

Met een verwerkersovereenkomst sluit je uit dat de verwerker de persoonsgegevens voor eigen doelen verwerkt. En leg je alle andere afspraken vast, zoals over beveiliging.

3) Met wie sluit je een verwerkersovereenkomst af?

Een verwerkersovereenkomst sluit je af met alle partijen die persoonsgegevens waarvoor jouw organisatie verantwoordelijk is, opslaan, bewaren of bewerken. Bijvoorbeeld met de beheerder van de website, de ledenadministrateur of drukker. Persoonsgegevens zijn bijvoorbeeld naam, (e-mail)adres, telefoonnummers, IP-adres en foto’s.

Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Want als je de gegevensverwerking door een verwerker laat uitvoeren, dan blijf je nog steeds verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG).

4) Wat als de verwerker een onderaannemer of subverwerker inschakelt?

Als verwerkingsverantwoordelijke patiëntenorganisatie kun je rechtstreeks met de eerste verwerker afspreken onder welke voorwaarden deze subverwerkers mag inschakelen.

De verwerker schakelt geen subverwerker(s) in zonder jouw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting jou heeft.

Als de subverwerker zijn verplichtingen niet nakomt, blijft de verwerker volledig aansprakelijk richting de verwerkersverantwoordelijke voor het nakomen van de verplichtingen (zie artikel 28, lid 4 van de AVG).

5) Is een verwerkersovereenkomst altijd nodig?

Nee, die is niet altijd nodig. Wanneer je met een andere partij samenwerkt voor bijvoorbeeld een bijeenkomst, het leveren van een dienst of product, en die partij bepaalt samen met jouw organisatie het doel en de middelen voor de verwerking, dan is er een gezamenlijke verantwoordelijkheid. Een verwerkersovereenkomst is dan niet nodig.

6) Wat moet er in een verwerkersovereenkomst staan?

In ons AVG-stappenplan vind je een modelovereenkomst. Dienstverleners hanteren vaak een eigen verwerkersovereenkomst, omdat zij voor veel organisaties persoonsgegevens verwerken. Krijg je ook zo’n overeenkomst? Let er dan op dat alle onderdelen van onze modelovereenkomst erin staan.

Bijvoorbeeld welke soorten persoonsgegevens en van welke categorieën betrokkenen. De doeleinden mogen vrij algemeen omschreven staan, bijvoorbeeld cloudopslag of uitvoeren ledenadministratie.

7) Moeten medewerkers van een patiëntenorganisatie ook een verwerkersovereenkomst tekenen?

Nee, medewerkers vallen onder art. 29 AVG, verwerken onder gezag, en hoeven daarom geen overeenkomst te tekenen.

8) Moeten vrijwilligers een verwerkersovereenkomst tekenen?

Vrijwilligers staan niet onder gezag zoals medewerkers. Als vrijwilligers persoonsgegevens verwerken, is een aanvulling op de vrijwilligersovereenkomst voldoende, zie bijlage 7 van ons stappenplan AVG.

9) Moet een verwerker ook een register bijhouden van de gegevens die hij verwerkt?

Ja, ook de verwerker moet een register bijhouden van alle verwerkingsactiviteiten die hij voor een verwerkingsverantwoordelijke verricht, als het om meer dan 250 persoonsgegevens gaat. Zie hiervoor het template voor een register van dataverwerking uit ons stappenplan AVG.

Heb je een vraag over de AVG?

Wil je meer weten over de AVG in de praktijk? Neem contact op met Martine Versluijs.