De verwerkersovereenkomst: dit moet je weten

Sinds de AVG in het leven is geroepen worden er steeds strengere eisen gesteld aan het verwerken van persoonsgegevens. Wij vroegen juriste Inge de Kruijf om meer te vertellen over de zogenaamde verwerkersovereenkomst.

Gastblog door Inge de Kruijf van De Kruijf Rechtshulp

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening en geldt sinds 25 mei 2018 voor de gehele Europese Unie. De AVG is in het leven geroepen om de verwerking van persoonsgegevens binnen organisaties te waarborgen en de privacyrechten zijn met de AVG dan ook omvangrijk. Alle private en publieke organisaties die persoonsgegevens verwerken, zoals bedrijven, zzp’ers, scholen, zorgsituaties, verenigingen en stichtingen, moeten voldoen aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving. Wanneer je niet voldoet aan de AVG, kun je een boete opgelegd krijgen en deze kan flink oplopen.

Besteed je de verwerking van persoonsgegevens uit? Dit kan alleen als je aan de AVG voldoet en ‘passende technische en organisaties maatregelen’ hebt getroffen. Des te belangrijker dus dat jouw organisatie AVG-proof is! Voorbeelden:

  • Je gebruikt e-maildienst zoals Mailchimp of ActiveCampaign
  • Je maakt gebruik van een clouddienst
  • Je gebruikt Google Analytics
  • Meer voorbeelden en uitleg

Is een verwerkersovereenkomst verplicht?

Wanneer je de verwerking van persoonsgegevens uitbesteedt ben je op grond van de AVG verplicht een verwerkersovereenkomst af te sluiten, maar wat regelt zo’n overeenkomst eigenlijk? In een verwerkersovereenkomst worden de verantwoordelijkheden bij de verwerking van persoonsgegevens vastgelegd. In deze overeenkomst staat welke persoonsgegevens een organisatie opslaat en verwerkt.

De ‘verwerker’ en de ‘verwerkersverantwoordelijke’

Een verwerkersovereenkomst is alleen nodig als de andere partij is te beschouwen als een ‘verwerker’. De ‘verwerkersverantwoordelijke’ is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. De ‘verwerker’ is degene die de persoonsgegevens verwerkt in opdracht van de verwerkersverantwoordelijke. Een verwerker mag alleen persoonsgegevens verwerken zoals beschreven in de overeenkomst en mag hierdoor geen persoonsgegevens voor zichzelf verwerken.

Wie krijgt de boete?

En wie kan de boete verwachten als er geen verwerkersovereenkomst is gesloten? Beide partijen! De AVG wijst namelijk geen specifieke partij aan, waardoor het sluiten van een verwerkersovereenkomst is te beschouwen als een gezamenlijke verplichting. Zowel de verwerkersverantwoordelijke als de verwerker kunnen een boete opgelegd krijgen van de Autoriteit Persoonsgegevens wanneer een dergelijke overeenkomst ontbreekt.

de kruijf rechtshulp

Delen?

Meer informatie over dit onderwerp? Kirsten maakt je volledig webwijs. Keertje afspreken?

Neem contact op

Mogen we jou ook webwijs maken? We zitten vol frisse ideeën waar we jou graag verder mee helpen.

Daag ons uit
Boyd