Een bedrijf runnen vergt veel tijd en werk. Daarom worden sommige werkzaamheden in een bedrijf uitbesteed aan andere partijen. Denk aan een administratiekantoor die de boekhoudwerkzaamheden verricht voor een groot advocatenkantoor of een accountant die de financiële administratie doet.
Omdat bij het uitbesteden van werk persoonsgegevens, zoals namen, adressen, bankgegevens et cetera verwerkt worden, moet zorgvuldig met deze gegevens worden omgegaan. Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (de AVG) in mei 2018 zijn bedrijven en organisaties verplicht om bij het uitbesteden van werk zogenaamde verwerkingsovereenkomsten te sluiten met partijen.
Wat is een verwerkingsovereenkomst eigenlijk en wat moet in de verwerkingsovereenkomst staan? Dat lees je in dit artikel.
Wat is een verwerkingsverantwoordelijke en een verwerker?
Als verwerkingsverantwoordelijke sluit je met de verwerker een verwerkingsovereenkomst. Een verwerkingsverantwoordelijke is een natuurlijk persoon, rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan.
Denk bijvoorbeeld aan een ziekenhuis. De verwerkingsverantwoordelijke stelt vast met welk doel en met welke middelen de verwerking van persoonsgegevens plaatsvindt. Een ziekenhuis bepaalt dus als verwerkingsverantwoordelijke welke persoonsgegevens van patiënten nodig zijn om de juiste zorg te kunnen leveren.
De verwerker verwerkt in opdracht en met zeggenschap van de verwerkingsverantwoordelijke persoonsgegevens. Denk aan een bedrijf die de declaraties van ziekenhuizen verzorgt. Lees hier meer over het verschil tussen een verwerkingsverantwoordelijke en een verwerker.
Wat is een verwerkingsovereenkomst?
De verwerkingsverantwoordelijke maakt samen met de verwerker afspraken over het verwerken van gegevens. Deze afspraken komen in de verwerkingsovereenkomst te staan. Een verwerkingsovereenkomst regelt als het ware hoe de verwerker moet omgaan met persoonsgegevens.
De verwerkingsverantwoordelijke stelt in de overeenkomst vast welke gegevens verwerkt mogen worden, waarom ze verwerkt worden en wat de verwerker met de gegevens mag doen. Op deze manier weet de verwerker welke persoonsgegevens verwerkt mogen worden en in welke mate. In een verwerkingsovereenkomst kan bijvoorbeeld staan dat een verwerker namen en adressen van patiënten alleen mag verwerken voor het versturen van bloeduitslagen.
De verwerker mag dus niet voor eigen doeleinden persoonsgegevens van patiënten verwerken.
De verplichting om een verwerkingsovereenkomst te sluiten heeft te maken met de verantwoordingsplicht. De verantwoordingsplicht van artikel 24 lid 1 van de AVG houdt in dat de verwerkingsverantwoordelijke verantwoordelijk blijft voor persoonsgegevens die verwerkt worden, ook als het verwerken uitbesteed wordt.
De personen wiens gegevens verwerkt worden, zoals patiënten in ziekenhuizen, hebben hun gegevens immers met de verwerkingsverantwoordelijke (het ziekenhuis) gedeeld.
Wat moet in een verwerkingsovereenkomst staan?
Een verwerkingsovereenkomst wordt schriftelijk vastgelegd. Artikel 28 van de AVG bepaalt welke onderdelen in ieder geval in een verwerkingsovereenkomst vastgelegd moeten worden.
- Het doel en de aard van de verwerking moet vermeld worden.
- Ook het onderwerp en de duur van de verwerking zijn van belang.
- Daarnaast is het natuurlijk van belang om welke soort persoonsgegevens het gaat en welke categorieën personen erbij betrokken worden.
- Tevens moeten de rechten en verplichtingen van de verwerkingsverantwoordelijke vermeld worden.
Naast de algemene zaken, is het verstandig om zaken als geheimhouding, beveiliging, het inschakelen van derden en de aansprakelijkheid in een verwerkingsovereenkomst te regelen.
Doel en aard van de verwerking
In een verwerkingsovereenkomst moet duidelijk zijn hoe en waarom persoonsgegevens verwerkt worden door de verwerker. De verwerkingsverantwoordelijke geeft daarom het doel en de aard van de verwerking aan.
Een gemeente die persoonsgegevens van burgers wil opslaan, kan bijvoorbeeld gebruikmaken van een externe clouddienst. De gemeente bepaalt vervolgens als verwerkingsverantwoordelijke waarom de persoonsgegevens verwerkt moeten worden in de cloud.
Onderwerp en tijdsduur van de verwerking
Het onderwerp geeft aan om welke reden de verwerkingsverantwoordelijke en verwerker een verwerkingsovereenkomst met elkaar sluiten. Een voorbeeld van een onderwerp is de opslag van persoonsgegevens van bestaande en toekomstige klanten voor het versturen van nieuwsbrieven.
Hoe lang je persoonsgegevens gaat verwerken verschilt per geval. Dit kan drie maanden zijn, maar ook drie jaar. De verwerkingsverantwoordelijke en verwerker moeten dit met elkaar afspreken.
Soort persoonsgegevens en categorie betrokkenen
Bij het soort persoonsgegevens gaat het om de vraag of gewone of bijzondere persoonsgegevens verwerkt worden. Gewone persoonsgegevens zijn bijvoorbeeld je naam, (e-mail)adres, vingerafdruk en telefoonnummer.
Bij bijzondere persoonsgegevens gaat het om gevoelige gegevens, zoals je ras, gezondheid of strafrechtelijk verleden.
Met categorie betrokkenen worden groepen van elkaar onderscheiden. Denk aan de categorie bezoekers versus de categorie personeel.
Rechten en verplichtingen van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke heeft rechten en verplichtingen. Zo is de verwerkingsverantwoordelijke verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Daarnaast heeft de verwerkingsverantwoordelijke een registerplicht. De registerplicht houdt in dat de verwerkte persoonsgegevens bijgehouden moeten worden in een intern register.
Een andere verplichting van de verwerkingsverantwoordelijke staat in artikel 37 van de AVG. In bepaalde gevallen moet de verwerkingsverantwoordelijke namelijk een functionaris gegevensbescherming aanstellen. Dat is iemand die binnen een organisatie toezicht houdt op het toepassen en naleven van de AVG.
- De overheid of een publieke organisatie, zoals de gemeente, is verplicht om een functionaris aan te stellen.
- Observeer je als organisatie of bedrijf op grote schaal individuen (zoals een beveiligingsbedrijf), dan ben je ook verplicht om een functionaris aan te stellen.
- Organisaties die bijzondere persoonsgegevens verwerken, zoals kerken die geloofsovertuigingen van personen verwerken, moeten ook een functionaris aanstellen.
De geheimhoudingsplicht
De geheimhoudingsplicht van artikel 28 lid 3 van de AVG houdt in dat de verwerker gehouden is om persoonsgegevens die verwerkt moeten worden geheim te houden. Geef in de verwerkingsovereenkomst aan dat de verwerker, waaronder het personeel, gehouden is de geheimhoudingsplicht na te leven.
Het is verstandig om naast de geheimhoudingsplicht een boetebeding op te nemen. Een boetebeding heeft vaak een afschrikkend effect, waardoor de kans op het schenden van de geheimhouding wordt verkleind.
De beveiliging
Geef als verwerkingsverantwoordelijke in de verwerkingsovereenkomst aan welke beveiligingsmaatregelen de verwerker moet nemen om de persoonsgegevens te beschermen tegen diefstal, verlies et cetera. Denk aan antivirusprogramma’s, een kluis of camerabewaking.
Inschakelen van derden (sub-verwerkers)
In de verwerkingsovereenkomst kunnen de verwerkingsverantwoordelijke en de verwerker afspreken in hoeverre de verwerker sub-verwerkers mag inschakelen. Sub-verwerkers zijn zijn door de verwerker ingeschakeld om persoonsgegevens van de verwerkingsverantwoordelijke te verwerken. Geef je als verwerkingsverantwoordelijke toestemming voor het inschakelen van sub-verwerkers, dan is het belangrijk om alle bepalingen die gelden voor de verwerker ook van toepassing te verklaren op de sub-verwerkers.
Aansprakelijkheid
De verwerkingsverantwoordelijke is de hoofdverantwoordelijke bij het niet naleven van de AVG. Denk aan het geval dat persoonsgegevens gelekt zijn en betrokken personen schade lijden. De verwerkingsverantwoordelijke is in principe zelfs verantwoordelijk als de schuld bij de verwerker ligt. In de verwerkingsovereenkomst mag je afwijken van deze hoofdelijke aansprakelijkheid. Wil je de aansprakelijkheid onderling verdelen, geef dit dan in de overeenkomst aan.