Home Actueel Archief Checklist verwerkersovereenkomst onder de AVG (GDPR)

Checklist verwerkersovereenkomst onder de AVG (GDPR)

Archief
08-12-17

De bewerkersovereenkomst was al een bekend fenomeen onder de Wet bescherming persoonsgegevens. Vanaf 25 mei 2018 geldt de nieuwe Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (“AVG”, en in het Engels: General Data Protection Regulation). Deze wetgeving stelt een aantal aanvullende eisen aan de bewerkersovereenkomst, die overigens ook “verwerkersovereenkomsten” zal gaan heten. In dit artikel vindt u een checklist om na te gaan of uw bewerkersovereenkomst al AVG-proof is.

Terminologie

Alhoewel dit geen wettelijk vereiste is, is het wel handig als de terminologie en definities die u gebruikt overeenkomen met de terminologie van de AVG. Zo wordt de “bewerker” nu een “verwerker” en de “bewerkersovereenkomst”, wordt nu dus ook “verwerkersovereenkomst”.  Daarnaast zijn een aantal definities, zoals de definitie van “persoonsgegevens” aangescherpt in de AVG.

Algemene vereisten voor de verwerkersovereenkomst

De verwerkersovereenkomst dient in ieder geval de volgende onderwerpen in algemene zin te regelen:

Bijzondere vereisten

Zijn de algemene vereisten al in uw bewerkersovereenkomst opgenomen? Dan bent u een goed eind onderweg. De AVG stelt echter ook nog een aantal extra eisen aan de overeenkomst. Het gaat om: 

De persoonsgegevens worden uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.

Deze verplichting bestond al onder de Wet bescherming persoonsgegevens, maar dient nu expliciet in de verwerkersovereenkomst te worden opgenomen. Dergelijke instructies kunnen onder andere betrekking hebben op doorgifte van persoonsgegevens aan een derde land of internationale organisatie, maar ook op de beveiligingsmaatregelen of extra verwerkingshandelingen die moeten plaatsvinden.

De verwerker waarborgt dat de “tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen”.

Dit klinkt erg ingewikkeld, maar het komt erop neer dat de verwerker geheimhoudingsovereenkomsten moet sluiten met de medewerkers, freelancers en andere personen die met persoonsgegevens in aanraking komen. Die geheimhouding moet qua strekking overeenkomen met de verwerkersovereenkomst. Deze verplichting voor de verwerker moet in de verwerkersovereenkomst expliciet vastgelegd worden.

De technische en organisatorische maatregelen van de verwerker voldoen aan de vereisten van de AVG. Het vereiste van “adequate technische en organisatorische maatregelen” kenden we onder de Wet bescherming persoonsgegevens ook al.

De AVG schrijft voor dat die maatregelen, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, passend moeten zijn om een op het risico afgestemd beveiligingsniveau te waarborgen.

Anders dan de Wet bescherming persoonsgegevens, doet de AVG een aantal suggesties voor maatregelen (zoals het toepassen van pseudonimisering), maar het is uiteindelijk de verantwoordelijke die ervoor moet zorgen dat deze maatregelen zo goed en duidelijk mogelijk in de overeenkomst zijn opgenomen.

De verwerker gaat pas met een subverwerker in zee, wanneer voorafgaande schriftelijke toestemming van de verantwoordelijke is verkregen.

Dit is een strengere regel dan we onder de Wet bescherming persoonsgegevens kenden. In principe is expliciete toestemming van de verantwoordelijke vereist als het gaat om het inschakelen van een specifieke subverwerker. Wil een SAAS dienstverlener (een verwerker!) dus alle data verhuizen naar een ander datacenter (een datacenter is meestal een subverwerker), dan zal zij daarvoor eerst toestemming moeten verkrijgen van de klanten. Pas wanneer die toestemming schriftelijk is vastgelegd, kan de verhuizing plaatsvinden. Een algemene voorafgaande toestemming is mogelijk, maar daar zitten wel beperkingen aan.  

De verwerker dient medewerking te verlenen bij het nakomen van de wettelijke verplichtingen van verantwoordelijke.

In veel gevallen zal de verantwoordelijke ook de medewerking van de verwerker nodig hebben om zijn verplichtingen na te komen, omdat de verwerker vaak de beschikking heeft over de meest actuele set persoonsgegevens. Daarom eist de AVG dat de verwerkersovereenkomst de verplichting oplegt aan de verwerker om mee te werken aan de naleving van die vereisten. Het gaat bijvoorbeeld om de verplichtingen van de verantwoordelijke op het gebied van de meldplicht datalekken en het uitvoeren van een Privacy Impact Assessment (PIA, in het Nederlands: gegevensbeschermingseffectbeoordeling). Het gaat ook om de verplichtingen die verantwoordelijken hebben jegens de betrokkenen, zoals het recht op inzage of dataportabiliteit. Ook moet de verwerker meewerken aan audits en inspecties.

De verwerker dient schriftelijk te worden verplicht om na afloop van de diensten ofwel (a) alle persoonsgegevens te wissen, ofwel (b) aan de verantwoordelijke terug te leveren en de kopieën te verwijderen. Er zijn een aantal uitzonderingen.

Andere vereisten uit de AVG

Belangrijk is dat AVG voorschrijft dat een verwerker ook verplicht kan zijn een verwerkingsregister bij te houden (net als de verantwoordelijke!). Ook kan de verwerker verplicht zijn om een functionaris gegevensbescherming aan te wijzen.

Dit zijn zelfstandige verplichtingen van de verwerker, en dat kan ook leiden tot zelfstandige sancties aan de verwerker. De AVG schrijft niet voor dat deze verplichtingen in de verwerkersovereenkomst moeten worden opgenomen, maar toch kan het raadzaam zijn om in sommige situaties dit toch in de verwerkersovereenkomst op te nemen.

Bovenstaande vereisten zijn niet allemaal nieuw; nieuw is wel dat de AVG voorschrijft dat ze schriftelijk in de verwerkersovereenkomst moeten worden vastgelegd. Dit kan een uitbreiding of aanpassing van uw bewerkersovereenkomst (of misschien inmiddels: verwerkersovereenkomst) betekenen.

Twijfelt u of uw bewerkersovereenkomst voldoet? Wij kunnen voor u een quickscan uitvoeren, dan weet u snel waar uw bewerkersovereenkomst kan worden verbeterd. Uiteraard kunnen wij u ook helpen met het volledig AVG proof maken van de bewerkersovereenkomst.

Deel dit artikel