Verwerkersovereenkomst

Bijna iedere organisatie zal bepaalde persoonsgegevens delen met een derde partij. Wanneer jij als organisatie degene bent die beslist over het verwerken van deze persoonsgegevens, dan ben jij de verwerkingsverantwoordelijke en zul je afspraken moeten maken met alle partijen die namens jou de persoonsgegevens verwerken. Ook kan het zo zijn dat je als organisatie zelf gegevens verwerkt namens een andere partij, dan ben je een zogenaamde verwerker. Afspraken over die verwerking van persoonsgegevens moeten vastgelegd worden in een zogenaamde ‘verwerkersovereenkomst’.

Maak afspraken

De verwerkersovereenkomst geeft inzicht in de verplichtingen en verantwoordelijkheden van beide partijen. Het doel van een verwerkersovereenkomst is dan ook om ervoor te zorgen dat verwerkers ook de nodige beveiligingsmaatregelen nemen. De onderstaande zaken moeten in ieder geval in een verwerkersovereenkomst opgenomen zijn:

  • De duur, beschrijving en doeleinden van de gegevensverwerking;
  • Beveiligingsmaatregelen en audits;
  • Waarborging van betrouwbaarheid van personeel;
  • Melding van een datalek aan verwerkingsverantwoordelijke;
  • Medewerkings- en inlichtingenplicht;
  • Toestemming voor inschakelen subverwerkers;
  • Waarborgen bij gegevensverkeer buiten de EU;
  • Retour of vernietiging van gegevens bij einde van de dienstverlening.

Een verwerkingsovereenkomst kan als aparte overeenkomst of als bijlage worden toegevoegd, maar dat is niet altijd noodzakelijk. Indien er slechts in beperkte mate persoonsgegevens worden verwerkt, kunnen bepalingen over het verwerken van persoonsgegevens ook in de hoofdovereenkomst worden ingevoegd.