Aanmelden
Keurmerk aanvragen
Contact
Contact opnemen

GDPR deel VI: De verwerkersovereenkomsten

Inmiddels heeft u het vast al wel gehoord: op 25 mei 2018 moet u voldoen aan de nieuwe Europese privacywetgeving genaamd General Data Protection Regulation of Algemene Verordening Gegevensbescherming in het Nederlands. Met deze blogserie proberen wij u de nodige tips te geven om ervoor te zorgen dat uw webwinkel op en ook na 25 mei 2018 aan de regels voldoet!

De verwerkersovereenkomst

Onder de GDPR bent u verplicht om met partijen die persoonsgegevens voor- of namens u – verwerken een overeenkomst te sluiten waarin in het bijzonder aandacht is voor privacy en dataprotectie. In dit weblog leest u hoe u een verwerkersovereenkomst herkent en waar deze precies aan moet voldoen. Het is van belang dat u vóór 25 mei 2018 deze overeenkomsten kunt overleggen aan de Autoriteit Persoonsgegevens in het geval dat zij er om vragen. Heeft u het één en ander niet voor elkaar dan riskeert u een spreekwoordelijke tik op de vingers en mogelijk zelfs een boete.

Laten we allereerst kijken wanneer een verwerkersovereenkomst nodig is. In alle gevallen dat u persoonsgegevens van (toekomstige) klanten verzamelt, en de ‘afhandeling’ – bijvoorbeeld zo simpel als het opslaan van klantgegevens in een cloudbased CRM – door een ander bedrijf wordt verzorgd dan moet u afspraken maken met die partij. Hieronder ziet u een korte opsomming van elementen die in ieder geval in deze overeenkomst terug te vinden moeten zijn:

  1. Het doel van de verwerking (bijvoorbeeld het opslaan en beschikbaar houden van klantgegevens);
  2. Locatie van de data-opslag;
  3. Geheimhouding;
  4. De te nemen veiligheidsmaatregelen;
  5. Inzet van ‘onderaannemers’ en kettingbeding;
  6. Aansprakelijkheidskwesties;
  7. Datalekken;
  8. Wat er gebeurt aan het einde van de overeenkomst;
  9. Medewerking aan audits en inspecties.

Het is belangrijk om u te realiseren dat een dergelijke overeenkomst in veel gevallen geen apart contract zal zijn met daarboven dikgedrukt ‘VERWERKERSOVEREENKOMST’. Veel partijen zullen ervoor kiezen om de bestaande overeenkomsten aan te vullen met voor de GDPR belangrijke bepalingen. Bovendien is een verwerkersovereenkomst niet nodig als de aanbieder geen toegang heeft tot uw gegevens. Dit is het geval wanneer alle data ‘versleuteld’ wordt opgeslagen en alleen u als klant de sleutel heeft: in dat geval is er immers geen sprake van verwerken van ‘bruikbare’ persoonsgegevens.

Waarom zijn deze overeenkomsten zo belangrijk?

Allereerst loopt u het risico op hoge boetes van de Autoriteit Persoonsgegevens als u niet kunt aantonen dat u de juiste afspraken heeft gemaakt met uw (software)leveranciers. Daarnaast bent u verplicht om duidelijk aan uw klanten te communiceren welke gegevens u verzamelt, waar u deze opslaat, wie er toegang toe hebben, voor hoe lang u de gegevens bewaart en welke beveiligingsmaatregelen u neemt. In veel gevallen bent u niet zelf de partij die deze maatregelen daadwerkelijk implementeert: het is dus van essentieel belang dat u weet wat u van uw leveranciers mag verwachten zodat u dit op transparante wijze kunt communiceren aan uw klanten.

Hoe komt u er aan?

In principe bent u als verwerkingsverantwoordelijke – ja u voelt hem al aankomen – verantwoordelijk voor het regelen van de juiste overeenkomsten. In de praktijk blijkt echter dat grotere partijen zelf het initiatief nemen omdat het ondoenlijk is om voor alle klanten een aparte overeenkomst op te stellen. Een goed begin is dus het vragen of er al stappen zijn gezet op dit gebied. Verwacht vaak te horen dat “er aan gewerkt” wordt en een redelijke portie onzekerheid wat betreft wanneer deze werkzaamheden zijn afgerond. Spreek met uzelf een datum af – bijvoorbeeld uiterlijk 25 maart – waarop u de benodigde overeenkomsten wilt hebben. U heeft dan nog even de tijd om een andere aanbieder te zoeken als de partijen waar u mee samenwerkt u onvoldoende zekerheid bieden dat de juiste afspraken op tijd worden vastgelegd.

GDPR Assessment

Als u gebruik maakt van de GDPR Assessment van Bergman Juridisch Adviesbureau worden uw verwerkersovereenkomsten uitgebreid gecontroleerd en naast uw privacyverklaring gelegd. Zo weet u zeker dat u waarmaakt wat u uw klanten belooft! Kijk op het GDPR Dashboard voor meer informatie over de GDPR implementatie in het algemeen en voor het invullen van de assessment tool. Ook tijdens onze webinar is aandacht besteed aan de verwerkersovereenkomsten, kijk de webinar dan ook gerust terug.