Sinds de AVG in het leven is geroepen worden er steeds strengere eisen gesteld aan het verwerken van persoonsgegevens. Wat zijn deze eisen dan? Wij vroegen juriste Inge de Kruijf om meer te vertellen over de zogenaamde verwerkersovereenkomst.
De verwerkersovereenkomst: dit moet je weten
Gastblog door Inge de Kruijf van De Kruijf Rechtshulp.
Sinds 25 mei 2018 geldt de Algemene Verordering Gegevensbescherming (AVG) voor de gehele Europese Unie. De AVG is in het leven geroepen om de verwerking van persoonsgegevens binnen organisaties te beschermen en de privacyrechten zijn met de AVG ook uitgebreid. Alle private en publieke organisaties die persoonsgegevens verwerken, zoals bedrijven, zzp’ers, scholen, zorgsituaties, verenigingen en stichtingen, moeten voldoen aan de AVG. De Autoriteit Persoonsgegevens houdt het toezicht op de naleving. Wanneer je niet voldoet aan de AVG, kan het zijn dat je een boete ontvangt die flink kan oplopen.
Besteed je de verwerking van persoonsgegevens uit? Dit kan alleen als je aan de AVG voldoet en ‘passende technische en organisaties maatregelen’ hebt getroffen. Voorbeelden hiervan zijn:
- Je gebruikt e-maildienst zoals Mailchimp of ActiveCampaign
- Je maakt gebruik van een clouddienst
- Je gebruikt Google Analytics
- Meer voorbeelden en uitleg
Is een verwerkersovereenkomst verplicht?
Wanneer je de verwerking van persoonsgegevens uitbesteedt ben je op grond van de AVG verplicht om een verwerkersovereenkomst af te sluiten. Waarvoor is zo’n overeenkomst eigenlijk? In een verwerkersovereenkomst worden de verantwoordelijkheden bij de verwerking van persoonsgegevens vastgelegd. In deze overeenkomst staat welke persoonsgegevens een organisatie opslaat en verwerkt.
Het is belangrijk dat jouw organisatie AVG proof is!
De ‘verwerker’ en de ‘verwerkersverantwoordelijke’
Een verwerkersovereenkomst is alleen nodig als de andere partij kan worden gezien als een ‘verwerker’. De ‘verwerkersverantwoordelijke’ is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. De ‘verwerker’ is degene die de persoonsgegevens verwerkt in opdracht van de verwerkersverantwoordelijke. Een verwerker mag alleen persoonsgegevens verwerken zoals beschreven staat in de overeenkomst. Hierdoor mag de verwerker geen persoonsgegevens voor zichzelf verwerken.
Wie o wie krijgt de boete?
En wie kan de boete verwachten als er geen verwerkersovereenkomst is gesloten? Beide partijen! De AVG wijst namelijk geen specifieke partij aan, waardoor het sluiten van een verwerkersovereenkomst wordt gezien als een gezamenlijke verplichting. Zowel de verwerkersverantwoordelijke als de verwerker kunnen een boete ontvangen van de Autoriteit Persoonsgegevens wanneer de overeenkomst niet is opgesteld.
Meer informatie over dit onderwerp? Carla maakt je volledig webwijs. Keertje afspreken?
Neem contact opMogen we jou ook webwijs maken? We zitten vol frisse ideeën waar we jou graag verder mee helpen.
Daag ons uit