25 januari 2018

De Avg uitgelegd deel 9: verwerkersovereenkomst

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), EUROPA, INTERNATIONALE DATASTROMEN, PRIVACY, HELPDESK JURIDISCH, VERTROUWEN

In deze serie behandelen we een aantal grote veranderingen op privacy-gebied voor ICT-bedrijven. Reden voor deze veranderingen zijn de nieuwe Europese privacy-regels van de General Data Protection Regulation (GDPR). In het Nederlands: de Algemene verordening gegevensbescherming (Avg). Per 25 mei 2018 moet je bedrijfsvoering op de Avg aangepast zijn. In dit negende deel van de serie gaan we nader in op de ‘verwerkersovereenkomst’. Een standaard verwerkersovereenkomst is beschikbaar via mijn.nederlandict. Niet-leden kunnen hem los bestellen.

Wat is een verwerkersovereenkomst?

Zodra een organisatie verwerking van persoonsgegevens uitbesteedt, moeten er volgens de Avg afspraken worden gemaakt over de verwerking. Die afspraken moeten ‘schriftelijk’ worden gemaakt. Dat mag ook zijn ‘elektronisch’, per e-mail bijvoorbeeld. Het document waarin deze afspraken worden vastgelegd noemen we vaak een ‘verwerkersovereenkomst’.

Wie moet een verwerkersovereenkomst sluiten?

Een ICT-leverancier die diensten aan klanten levert, waarbij hij (ook) persoonsgegevens voor klanten verwerkt is (in zijn rol als verwerker) verplicht hierover afspraken te maken met klanten (in hun rol als verwerkingsverantwoordelijke) en andersom zijn de klanten verplicht afspraken te maken met hun leverancier. Het is dus in het belang van beide partijen om een verwerkersovereenkomst te hebben.

Wat moet er allemaal in een verwerkersovereenkomst staan?

De Avg noemt een aantal specifieke onderwerpen waarover afspraken moeten worden gemaakt. Denk daarbij bijvoorbeeld aan beveiliging, geheimhouding en datalekken. En nieuwe onderwerpen, zoals wat er met de gegevens gebeurt na afloop van de overeenkomst. Deze onderwerpen komen allemaal terug in de standaard verwerkersovereenkomst van Nederland ICT.

Is het altijd nodig om een aparte verwerkersovereenkomst te hebben?

Nee, het gaat erom dat er tussen partijen afspraken worden gemaakt over de verwerking van persoonsgegevens en dat deze afspraken op de een of andere manier schriftelijk worden vastgelegd. Dat hoeft niet in een apart document, maar kan bijvoorbeeld ook heel goed worden verwerkt in de hoofdovereenkomst, algemene voorwaarden en/of een service level agreement.

Een verwerkersovereenkomst staat nooit op zichzelf en hangt altijd samen met de dienst die wordt geleverd. Het is daarom van belang de verwerkersovereenkomst onderdeel te maken van de hoofdovereenkomst (bijvoorbeeld door het daar als bijlage bij te voegen).

Wat is het verschil met een bewerkersovereenkomst?

De verwerkersovereenkomst is eigenlijk de oude bewerkersovereenkomst in een nieuw jasje. Reden voor de naamswijziging is dat in de Avg de termen zijn veranderd. Daar waar de oude privacywet (Wbp) sprak van ‘bewerker’ is dat nu ‘verwerker’; vandaar ‘verwerkersovereenkomst’. Overigens is verwerkersovereenkomst (net als bewerkersovereenkomst) geen wettelijke term. De eisen zijn in de Avg uitgebreid ten opzichte van de Wbp. Zo stelt de Avg bijvoorbeeld nieuwe eisen bij het inschakelen van subverwerkers (onderleveranciers): er moet expliciet toestemming worden gegeven voor het inschakelen van subverwerkers. In de overeenkomst moet specifiek staan voor welke subverwerkers toestemming wordt gegeven. Algemene toestemming mag ook, maar dan moet de klant wel op de hoogte worden gehouden van welke subverwerkers gebruik wordt gemaakt en een ‘opt out’ worden geboden als er van subverwerker wordt gewisseld.

Waarom ziet de verwerkersovereenkomst van Nederland ICT er dan opeens anders uit?

Nederland ICT heeft gekozen voor een nieuwe opzet. De oude voorbeeldovereenkomst bestond uit een ‘bewerkersovereenkomst’ met ‘bijlage’. De bijlage is naar voren gehaald en heet nu ‘Data Pro Statement’. De standaard juridische clausules uit de ‘bewerkersovereenkomst’ zijn juist naar achteren verplaatst en heten nu ‘Standaardclausules voor verwerkingen’. Ook hebben we de toelichting aangepast. We hebben geprobeerd deze minder juridisch en meer praktisch te maken. Daarnaast is de inhoud uiteraard aangepast op de nieuwe wetgeving, zowel in terminologie als juridisch inhoudelijk.

Wat is Data Pro?

Nederland ICT zal vanaf begin 2018 nieuwe privacy dienstverlening gaan aanbieden onder de naam ‘Data Pro’. Met Data Pro willen we ICT-bedrijven helpen om in vijf stappen aantoonbaar compliant te zijn. De verwerkersovereenkomst, bestaande uit het ‘Data Pro Statement’ en ‘Standaardclausules voor verwerkingen’, sluit hier naadloos op aan. Ook als je geen gebruik maakt van de ‘Data Pro’-dienstverlening van Nederland ICT kun je als ICT-leverancier uitstekend gebruikmaken van de verwerkersovereenkomst.

Waar kan ik de standaard verwerkersovereenkomst van Nederland ICT vinden?

Leden kunnen de standaard verwerkersovereenkomst van Nederland ICT (bestaande uit het Data Pro Statement met Standaardclausules voor verwerkingen) gratis downloaden via mijn.nederlandict. Niet-leden kunnen de verwerkersovereenkomst hier los bestellen of bestellen als onderdeel van de uitgebreide Avg Toolkit.

Wat als ik nog vragen heb?

Meer informatie over de achtergrond van de Avg is te vinden op de Avg dossier-pagina. Meer informatie over de Data Pro-dienstverlening is hier te vinden. Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg.

Via de Helpdesk Avg geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van de Avg. Overige juridische vragen kunnen worden neergelegd bij de Helpdesk Juridisch. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

 

  • Download als PDF
    Wil je deze blog nog eens rustig nalezen? Download 'm dan als pdf.