25 januari 2018

De Avg uitgelegd deel 9: verwerkersovereenkomst

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), EUROPA, PRIVACY, HELPDESK JURIDISCH, VERTROUWEN

In deze serie behandelen we een aantal grote veranderingen op privacy-gebied voor ICT-bedrijven. Reden voor deze veranderingen zijn de nieuwe Europese privacy-regels van de General Data Protection Regulation (GDPR). In het Nederlands: de Algemene verordening gegevensbescherming (Avg). Per 25 mei 2018 moet je bedrijfsvoering op de Avg aangepast zijn. In dit negende deel van de serie gaan we nader in op de ‘verwerkersovereenkomst’. Een standaard verwerkersovereenkomst is beschikbaar via het ledenportal. Niet-leden kunnen hem los bestellen.

Wat is een verwerkersovereenkomst?

Zodra een organisatie verwerking van persoonsgegevens uitbesteedt, moeten er volgens de Avg afspraken worden gemaakt over de verwerking. Die afspraken moeten ‘schriftelijk’ worden gemaakt. Dat mag ook zijn ‘elektronisch’, per e-mail bijvoorbeeld. Het document waarin deze afspraken worden vastgelegd noemen we vaak een ‘verwerkersovereenkomst’.

Wie moet een verwerkersovereenkomst sluiten?

Een ICT-leverancier die diensten aan klanten levert, waarbij hij (ook) persoonsgegevens voor klanten verwerkt is (in zijn rol als verwerker) verplicht hierover afspraken te maken met klanten (in hun rol als verwerkingsverantwoordelijke) en andersom zijn de klanten verplicht afspraken te maken met hun leverancier. Het is dus in het belang van beide partijen om een verwerkersovereenkomst te hebben.

Heb jij al een verwerkersovereenkomst met je klanten?

Maak afspraken over de verwerking van persoonsgegevens en leg ze schriftelijk vast in de Standaard verwerkersovereenkomst van NLdigital!

Download verwerkersovereenkomst

Wat moet er allemaal in een verwerkersovereenkomst staan?

De Avg noemt een aantal specifieke onderwerpen waarover afspraken moeten worden gemaakt. Denk daarbij bijvoorbeeld aan beveiliging, geheimhouding en datalekken. En nieuwe onderwerpen, zoals wat er met de gegevens gebeurt na afloop van de overeenkomst. Deze onderwerpen komen allemaal terug in de Standaard verwerkersovereenkomst van NLdigital.

Is het altijd nodig om een aparte verwerkersovereenkomst te hebben?

Nee, het gaat erom dat er tussen partijen afspraken worden gemaakt over de verwerking van persoonsgegevens en dat deze afspraken op de een of andere manier schriftelijk worden vastgelegd. Dat hoeft niet in een apart document, maar kan bijvoorbeeld ook heel goed worden verwerkt in de hoofdovereenkomst, algemene voorwaarden en/of een service level agreement.

Een verwerkersovereenkomst staat nooit op zichzelf en hangt altijd samen met de dienst die wordt geleverd. Het is daarom van belang de verwerkersovereenkomst onderdeel te maken van de hoofdovereenkomst (bijvoorbeeld door het daar als bijlage bij te voegen).

Wat is het verschil met een bewerkersovereenkomst?

De verwerkersovereenkomst is eigenlijk de oude bewerkersovereenkomst in een nieuw jasje. Reden voor de naamswijziging is dat in de Avg de termen zijn veranderd. Daar waar de oude privacywet (Wbp) sprak van ‘bewerker’ is dat nu ‘verwerker’; vandaar ‘verwerkersovereenkomst’. Overigens is verwerkersovereenkomst (net als bewerkersovereenkomst) geen wettelijke term. De eisen zijn in de Avg uitgebreid ten opzichte van de Wbp. Zo stelt de Avg bijvoorbeeld nieuwe eisen bij het inschakelen van subverwerkers (onderleveranciers): er moet expliciet toestemming worden gegeven voor het inschakelen van subverwerkers. In de overeenkomst moet specifiek staan voor welke subverwerkers toestemming wordt gegeven. Algemene toestemming mag ook, maar dan moet de klant wel op de hoogte worden gehouden van welke subverwerkers gebruik wordt gemaakt en een ‘opt out’ worden geboden als er van subverwerker wordt gewisseld.

Waarom ziet de verwerkersovereenkomst van NLdigital er dan opeens anders uit?

NLdigital heeft gekozen voor een nieuwe opzet. De oude voorbeeldovereenkomst bestond uit een ‘bewerkersovereenkomst’ met ‘bijlage’. De bijlage is naar voren gehaald en heet nu ‘Data Pro Statement’. De standaard juridische clausules uit de ‘bewerkersovereenkomst’ zijn juist naar achteren verplaatst en heten nu ‘Standaardclausules voor verwerkingen’. Ook hebben we de toelichting aangepast. We hebben geprobeerd deze minder juridisch en meer praktisch te maken. Daarnaast is de inhoud uiteraard aangepast op de nieuwe wetgeving, zowel in terminologie als juridisch inhoudelijk.

Wat is Data Pro?

NLdigital zal vanaf begin 2018 nieuwe privacy dienstverlening gaan aanbieden onder de naam ‘Data Pro’. Met Data Pro willen we ICT-bedrijven helpen om in vijf stappen aantoonbaar compliant te zijn. De verwerkersovereenkomst, bestaande uit het ‘Data Pro Statement’ en ‘Standaardclausules voor verwerkingen’, sluit hier naadloos op aan. Ook als je geen gebruik maakt van de ‘Data Pro’-dienstverlening van Nederland ICT kun je als ICT-leverancier uitstekend gebruikmaken van de verwerkersovereenkomst.

Waar kan ik de standaard verwerkersovereenkomst van NLdigital vinden?

Leden kunnen de Standaard verwerkersovereenkomst van NLdigital (bestaande uit het Data Pro Statement met Standaardclausules voor verwerkingen) gratis downloaden via het ledenplatform.

Niet-leden kunnen de Standaard verwerkersovereenkomst hier los bestellen.

Wat als ik nog vragen heb?

  • Wil je advies en ondersteuning bij vraagstukken op het gebied van privacy? Raadpleeg dan onze juristen!
  • NLdigital organiseert ook verschillende workshops en bijeenkomsten. Wist je dat je als lid gratis kunt deelnemen aan deze workshops?
  • En dat je als lid kan profiteren van nog meer ledenvoordeel, zoals een flinke korting op het Data Pro Certificate? Bekijk ze hier of vraag een vrijblijvend kennismakingsgesprek aan! We vertellen je graag wat NLdigital voor jouw bedrijf kan betekenen en waar de kansen liggen.

Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg-nieuwsbrief.

 

Wil je Avg-compliant worden?

Dan is het gratis Data Pro oriëntatiepakket een goed startpunt.

Meer informatie

 

NLdigital respecteert jouw privacy. Daarom geven we je de controle over de manier waarop wij met je data omgaan.

In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Privacystatement
Instellingen

NLdigital respecteert jouw privacy

Daarom geven we je de controle over de manier waarop wij met je data omgaan. In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Deze cookies zijn noodzakelijk voor het tonen van de website en de bijbehorende functionaliteit, en voor het uitvoeren van de gevraagde dienstverlening.

Lees meer

We optimaliseren continu onze website. Daarvoor analyseren we websitebezoek via Google Analytics. Dit hebben we op de privacyvriendelijke wijze, volgens de handleiding van de Autoriteit Persoonsgegevens, ingericht.

Lees meer

Met Linkedincampagnes introduceren we ons collectief en onze diensten in de digitale sector. We slaan gegevens over websitebezoek op om de effectiviteit van onze advertenties te meten, om advertenties te leveren die relevant zijn en om het aantal keren dat je een advertentie ziet te beperken.

Lees meer
Vergeet alles Jouw voorkeuren zijn verwijderd