Ligo

Juridische tips en informatie om zorgeloos te ondernemen

AVG verwerkersovereenkomst: weet jij wat je moet vastleggen?

Posted by Carlijn Rus on 16-mei-2018 13:25:51
Carlijn Rus

Gebruik jij Google om statistieken van je website of app te bekijken? Besteed jij je administratie uit aan een payrollbedrijf? Of gebruik jij social media om in contact te komen met klanten? Dan gebruik je een derde partij om persoonsgegevens te verwerken. In principe is het toegestaan om voor de verwerking van persoonsgegevens andere bedrijven in te huren, maar je moet dan wel een zogenaamde “verwerkersovereenkomst” afsluiten met deze derde partij. De eisen onder de nieuwe EU privacywet (AVG) zijn strenger dan onder de eerder geldende Wbp, dus afspraken met de derde partij moet je goed vastleggen. Wil je precies weten welke afspraken jij moet vastleggen in een verwerkersovereenkomst? Lees dan snel deze blog!

Wil je nu weten hoe privacy proof jouw bedrijf is? Doe dan de AVG Privacy Scan!

Doe hier de AVG privacy scan

De zes belangrijkste afspraken in de verwerkersovereenkomst 

De verwerkersovereenkomst is een overeenkomst tussen jouw bedrijf, de "verantwoordelijke", en de derde partij die jouw gegevens verwerkt, de "verwerker". Deze overeenkomst regelt hoe de verwerker met de door jou verzamelde persoonsgegevens om moet gaan. Een verwerkersovereenkomst kan allerlei bepalingen bevatten, maar de volgende bepalingen zijn in ieder geval verplicht om de verwerkersovereenkomst op te nemen:

  1. De basis van de overeenkomst. In verwerkersovereenkomst leg je de duur van de overeenkomst vast en het doel waarvoor de persoonsgegevens worden verwerkt. Van belang is dat wordt opgenomen om wat voor soort persoonsgegevens de overeenkomst draait. Vergeet niet om alles omtrent de rechten en verplichtingen van jouzelf als "verantwoordelijke" in de verwerkersovereenkomst op te nemen!
  2. Rechten van betrokkenen. Als verantwoordelijke heb je bepaalde verplichtingen naar de betrokkene personen van wie je de gegevens verzamelt en verwerkt ("betrokkenen"). Privacyrechten van betrokkenen zijn bijvoorbeeld het recht op correctie en inzage. De verwerker helpt jou als veranwoordelijke met het uitvoeren van deze plichten.
  3. Verplichtingen van de verwerker. In de verwerkersovereenkomst moet staan dat de verwerker de persoonsgegevens alleen verwerkt met hetzelfde doel als waar jij de persoonsgegevens voor hebt verzameld. Stel dat jij gegevens van je personeel verzamelt voor je salarisadministratie, dan mag de verwerker de gegevens niet gebruiken om advertenties naar jouw personeelsleden te sturen. Verder moet de verwerker een eventueel datalek melden en moet de verwerker jou helpen met een DPIA wanneer jij deze dient uit te voeren. Ook is de verwerker verplicht de gegevens te verwijderen of teruggeven op het moment dat jij als verantwoordelijke de samenwerking met de verwerker beëindigt. 
  4. Geheimhoudingsplicht. De verwerker heeft de verplichting om geheimhoudingsovereenkomsten te sluiten met freelancers, medewerkers en overige betrokken personen die in dienst zijn van de verwerker en die te maken hebben met de persoonsgegevens. Deze overeenkomsten moeten wat betreft inhoud gelijk zijn aan de verwerkersovereenkomst.
  5. Persoonsgegevens beveiligen. De verwerker moet maatregelen - zowel technisch als organisatorisch - nemen om zo de verwerking van de persoonsgegevens veilig te stellen. Denk hierbij aan bijvoorbeeld beveiligingstesten of aan de versleuteling van de persoonsgegevens.
  6. Inschakelen van "subverwerkers". Wil je dat de verwerker andere bedrijven inhuurt voor de verwerking van persoonsgegevens? Of wil je dat juist voorkomen? Dan is het handig om hierover een bepaling in je verwerkersovereenkomst op te nemen. Dit andere bedrijf is dan een "subverwerker". De verwerker mag zo'n bedrijf niet inschakelen zonder jouw toestemming. Daarom is het noodzakelijk om dit vast te leggen. De verplichtingen blijven hetzelfde, ze worden alleen uitbesteed aan een ander bedrijf dan de verwerker. De verwerker blijft aansprakelijk mocht de subverwerker die verplichtingen niet nakomen.

Weet dat jij, ook als jij een ander bedrijf inhuurt als verwerker, nog steeds zelf verantwoordelijk bent voor de gegevens die je verwerkt! Als er een datalek is, kan je dus nog steeds aansprakelijk worden gesteld voor de schade die daardoor ontstaat. Ook de personen van wie je gegevens verwerkt, kunnen nog steeds tegen jou hun rechten, zoals het recht op het wissen van hun gegevens en het recht op herstel, uitoefenen.

Ligo tip: wist je dat je bij Ligo snel en makkelijk een verwerkersovereenkomst kan downloaden?

Download nu je verwerkersovereenkomst 

Verwerkersovereenkomst

 

Er moet dus heel wat in de verwerkersovereenkomst staan. De AVG is een erg strenge wet met veel specifieke eisen. Om boetes en aansprakelijkheden te voorkomen is het dus van belang dat je een goede verwerkersovereenkomst opstelt! Gelukkig kan Ligo jou hierbij helpen: wij hebben een verwerkersovereenkomst opgesteld waarin alle belangrijke afspraken staan die jij met jouw verwerkers dient te maken. Daarnaast kunnen onze privacy avocaten je altijd verder helpen als je vragen hebt. Als Ligo member kan je onbeperkt advies inwinnen van onze advocaten. Zo weet je zeker dat je een goede verwerkersovereenkomst hebt en aan alle eisen van de AVG voldoet.

Download nu je verwerkersovereenkomst 

Hoe kan ik mijn bedrijf AVG-proof maken?

De AVG stelt hoge eisen aan bedrijven wat betreft privacy. Als je die eisen niet naleeft, kan je enorme boetes krijgen. We kunnen dus niet genoeg benadrukken hoe belangrijk het is dat je je aan de EU privacywet houdt. Maar hoe kan je dit het handigst doen?

  1. Je kan een advocaat inschakelen. Het voordeel van deze optie is dat het zeker is dat je AVG-proof bent, indien je de instructies van de advocaat opvolgt. Het nadeel van deze optie is dat dit honderden dan wel duizenden euro’s kan gaan kosten.
  2. Je kan zelf je onderneming AVG-proof maken. Het voordeel van deze optie is dat je je bedrijf geheel kosteloos AVG-proof kan maken, zonder je huis ervoor te verlaten. Het nadeel is dat je je er niet verzekerd van bent dat wat je doet ook juridisch correct is. Bovendien ben je waarschijnlijk ontzettend veel tijd kwijt aan het uitvogelen van wat je precies moet doen en met het doorvoeren van alle noodzakelijke aanpassingen.
  3. Je kan je bij Ligo aansluiten. Bij Ligo ben je je ervan verzekerd dat alle juridische documenten in de database op tijd aan de eisen van de AVG zullen worden aangepast. Hiernaast helpen wij je met een AVG-scan en een AVG-stappenplan. Ook zal je een melding ontvangen in je mailbox ontvangen zodra onze juridische documenten, waaronder onze verwerkersovereenkomst, onze scan en ons stappenplan klaar staan. Verder kan je als member onbeperkt vragen indienen over de AVG bij onze specialistische advocaten. Hierdoor weet je zeker dat jij goed voorbereid bent op de vergaande rechten van alle betrokkenen en dat je een goede verwerkersovereenkomst hebt!

Happy entrepreneuring!

Topics: Blogs