Verwerkingsverantwoordelijke en verwerker: wie is wie?
Als verwerkingsverantwoordelijke ben je, de naam zegt het al een beetje, verantwoordelijk voor het bepalen van de doelen en de middelen waarmee persoonsgegevens verwerkt worden. Het kan zijn dat de verwerkingsverantwoordelijke hiervoor een partij inschakelt voor het verwerken van deze persoonsgegevens, deze partij is dan een verwerker. Bij het inschakelen van een verwerker ben je, volgens de AVG, als verwerkingsverantwoordelijke verplicht om een zogeheten verwerkersovereenkomst af te sluiten met deze verwerker. Door middel van een verwerkersovereenkomst maak je afspraken over hoe er moet worden omgegaan met de persoonsgegevens. De verwerker verwerkt namelijk in opdracht van de verwerkingsverantwoordelijke persoonsgegevens en doet dit volgens zijn instructies. Kort gezegd geeft de verwerkersovereenkomst de verantwoordelijkheden weer tussen de verwerkingsverantwoordelijke en de verwerker op het gebied van de verwerking van persoonsgegevens.
Wat staat erin?
In de verwerkersovereenkomst maak je dus afspraken over de persoonsgegevens die de verwerker in opdracht van de verwerkingsverantwoordelijke verwerkt. De inhoud van een verwerkersovereenkomst kan variëren, maar veel onderwerpen zijn veelal hetzelfde, denk hierbij aan afspraken over welke persoonsgegevens er verwerkt zullen worden, afspraken omtrent het doorgeven van persoonsgegevens naar landen buiten de EER, hoelang de verwerker de persoonsgegevens mag bewaren, en wat te doen als er een datalek plaatsvindt. Ook zullen de te nemen technische en organisatorische maatregelen besproken worden in de verwerkersovereenkomst.
Subverwerkers
Ook is het mogelijk dat de verwerker vervolgens besluit een subverwerker in te schakelen. Een subverwerker is een partij die namens de verwerker (een deel) van de gegevens verwerkt. Als dat het geval is dient de verwerker hiervoor toestemming van de verwerkingsverantwoordelijke te krijgen én dient hij een subverwerkersovereenkomst te sluiten met de subverwerker zelf, waarin dezelfde plichten worden opgelegd als die verwerkingsverantwoordelijke aan de verwerker heeft opgelegd.
Waar moet je op letten gedurende het opstellen en uitvoeren van een verwerkersovereenkomst?
- Zorg ervoor dat alle betrokken partijen onder de verwerkersovereenkomst begrijpen wat hun respectievelijke rollen en verantwoordelijkheden zijn.
- Een verwerkersovereenkomst is een wettelijk verplicht document, maar het blijft uiteindelijk een stuk tekst. Zorg dus dat je niet alleen op papier dingen afspreekt maar ook in de praktijk een goede invulling geeft aan wat je onderling met elkaar afspreekt. Zoals het correct implementeren van de afgesproken technische en organisatorische maatregelen en het opstellen van een datalekkenprocedure;
- Controleer als verwerkingsverantwoordelijke op een goede naleving van de verwerkersovereenkomst, dit kun je bijvoorbeeld bereiken door de verwerker regelmatig te auditen.
- Blijf duidelijk communiceren met elkaar om ervoor te zorgen dat partijen op de hoogte zijn van eventuele wijzigingen die van invloed zijn op de gegevensverwerking en daarmee op de verwerkersovereenkomst, bijvoorbeeld wanneer de verwerker besluit een subverwerker aan te stellen.
- Denk vooruit: Er moeten heldere afspraken gemaakt worden over wat er met de gegevens dient te gebeuren na het beëindigen van de verwerkersovereenkomst, dit noemt men ook wel de “exit-strategie”.
- En belangrijk om niet te vergeten; neem een geheimhoudingsverplichting op in je verwerkersovereenkomst!
Meer weten of hulp nodig?
Wil jij meer weten over de verwerkersovereenkomst? Of heb je hulp nodig bij het opstellen ervan? Wij kunnen je helpen! Neem contact met ons op via info@privacycoaches.nl