Skip to content

Blog

GDPR deel VI: De verwerkersovereenkomsten

GDPR deel VI: De verwerkersovereenkomsten

2697
23
0

Inmiddels heeft u het vast al wel gehoord: op 25 mei 2018 moet u voldoen aan de nieuwe Europese privacywetgeving genaamd General Data Protection Regulation of Algemene Verordening Gegevensbescherming in het Nederlands. Met deze blogserie proberen wij u de nodige tips te geven om ervoor te zorgen dat uw webwinkel op en ook na 25 mei 2018 aan de regels voldoet!

De verwerkersovereenkomst

Onder de GDPR bent u verplicht om met partijen die persoonsgegevens voor- of namens u – verwerken een overeenkomst te sluiten waarin in het bijzonder aandacht is voor privacy en dataprotectie. In dit weblog leest u hoe u een verwerkersovereenkomst herkent en waar deze precies aan moet voldoen. Het is van belang dat u vóór 25 mei 2018 deze overeenkomsten kunt overleggen aan de Autoriteit Persoonsgegevens in het geval dat zij er om vragen. Heeft u het één en ander niet voor elkaar dan riskeert u een spreekwoordelijke tik op de vingers en mogelijk zelfs een boete.

Laten we allereerst kijken wanneer een verwerkersovereenkomst nodig is. In alle gevallen dat u persoonsgegevens van (toekomstige) klanten verzamelt, en de ‘afhandeling’ – bijvoorbeeld zo simpel als het opslaan van klantgegevens in een cloudbased CRM – door een ander bedrijf wordt verzorgd dan moet u afspraken maken met die partij. Hieronder ziet u een korte opsomming van elementen die in ieder geval in deze overeenkomst terug te vinden moeten zijn:

  1. Het doel van de verwerking (bijvoorbeeld het opslaan en beschikbaar houden van klantgegevens);
  2. Locatie van de data-opslag;
  3. Geheimhouding;
  4. De te nemen veiligheidsmaatregelen;
  5. Inzet van ‘onderaannemers’ en kettingbeding;
  6. Aansprakelijkheidskwesties;
  7. Datalekken;
  8. Wat er gebeurt aan het einde van de overeenkomst;
  9. Medewerking aan audits en inspecties.

Het is belangrijk om u te realiseren dat een dergelijke overeenkomst in veel gevallen geen apart contract zal zijn met daarboven dikgedrukt ‘VERWERKERSOVEREENKOMST’. Veel partijen zullen ervoor kiezen om de bestaande overeenkomsten aan te vullen met voor de GDPR belangrijke bepalingen. Bovendien is een verwerkersovereenkomst niet nodig als de aanbieder geen toegang heeft tot uw gegevens. Dit is het geval wanneer alle data ‘versleuteld’ wordt opgeslagen en alleen u als klant de sleutel heeft: in dat geval is er immers geen sprake van verwerken van ‘bruikbare’ persoonsgegevens.

Waarom zijn deze overeenkomsten zo belangrijk?

Allereerst loopt u het risico op hoge boetes van de Autoriteit Persoonsgegevens als u niet kunt aantonen dat u de juiste afspraken heeft gemaakt met uw (software)leveranciers. Daarnaast bent u verplicht om duidelijk aan uw klanten te communiceren welke gegevens u verzamelt, waar u deze opslaat, wie er toegang toe hebben, voor hoe lang u de gegevens bewaart en welke beveiligingsmaatregelen u neemt. In veel gevallen bent u niet zelf de partij die deze maatregelen daadwerkelijk implementeert: het is dus van essentieel belang dat u weet wat u van uw leveranciers mag verwachten zodat u dit op transparante wijze kunt communiceren aan uw klanten.

Hoe komt u er aan?

In principe bent u als verwerkingsverantwoordelijke – ja u voelt hem al aankomen – verantwoordelijk voor het regelen van de juiste overeenkomsten. In de praktijk blijkt echter dat grotere partijen zelf het initiatief nemen omdat het ondoenlijk is om voor alle klanten een aparte overeenkomst op te stellen. Een goed begin is dus het vragen of er al stappen zijn gezet op dit gebied. Verwacht vaak te horen dat “er aan gewerkt” wordt en een redelijke portie onzekerheid wat betreft wanneer deze werkzaamheden zijn afgerond. Spreek met uzelf een datum af – bijvoorbeeld uiterlijk 25 maart – waarop u de benodigde overeenkomsten wilt hebben. U heeft dan nog even de tijd om een andere aanbieder te zoeken als de partijen waar u mee samenwerkt u onvoldoende zekerheid bieden dat de juiste afspraken op tijd worden vastgelegd.

GDPR Assessment

Als u gebruik maakt van de GDPR Assessment van Bergman Juridisch Adviesbureau worden uw verwerkersovereenkomsten uitgebreid gecontroleerd en naast uw privacyverklaring gelegd. Zo weet u zeker dat u waarmaakt wat u uw klanten belooft! Kijk op het GDPR Dashboard voor meer informatie over de GDPR implementatie in het algemeen en voor het invullen van de assessment tool. Ook tijdens onze webinar is aandacht besteed aan de verwerkersovereenkomsten, kijk de webinar dan ook gerust terug.

 
 
Bericht delen:
LinkedIn
Q&A Image
Niet gevonden wat je zocht?

Neem vrijblijvend contact op met één van de behulpzame specialisten van WebwinkelKeur

 

Reacties

Ik snap niet hoe ik dat met mijn online webshop moet regelen. Heeft hier iemand een duidelijke plan voor de webshops?

Kunnen jullie al aangeven wanneer WebwinkelKeur met de verwerkingovereenkomst komt? In het kader van deadline enzo ;).

Hallo, gezien de vele vragen, is het wellicht een idee om de inhoud van die email te publiceren?
Ook ik heb geen idee waar ik moet beginnen, en ik denk dat dat voor 99% van de website eigenaren geldt.

Beste Marco,

Het is heel begrijpelijk dat je door de bomen het bos niet meer ziet. Er is vanuit ons een stappenplan in de maak en ik zal je wat informatie omtrent de GDPR toesturen.

Groet, Robin.

Beste A.C.J de Bodt,

Er gaat inderdaad veel veranderen bij de AVG, zo moet je straks bewuster omgaan met persoonsgegevens en dien je wat zaken aan te passen en te regelen.
Ik zal je per mail wat informatie toesturen!

Groet, Robin

Hallo,

Ik heb alles over de GDPR gelezen op de site maar vind het nog steeds erg lastig.
Hopelijk kunnen jullie ons hiermee helpen. Het geeft allemaal onnodig stress.
verwerkersovereenkomsten moeten deze getekend worden één op één ? moeten deze online staan ?
Dit en nog meer.
Graag je hulp.
mvg

Mag ik ook de mail ontvangen? Volgens mij staat dit namelijk nog niet gepubliceerd op jullie site of wel?

Wat ik mij met name nog afvraag, in hoeverre moet ik dit allemaal communiceren op de website zelf? Moet ik daar bijvoorbeeld op de privacy pagina melden welke bedrijven allemaal toegang hebben tot de informatie, welke informatie, en moet dan ook de verwerkingsovereenkomst van dat bedrijf in te zien zijn voor consumenten??

Is de verwerkingsovereenkomst van Webwinkelkeur trouwens al klaar?

Beste ,

Recent hebben we ons GDPR/AVG stappenplan voor webwinkels gepubliceerd: https://www.webwinkelkeur.nl/webwinkel/gdpr-avg-ready-maken-webwinkel/stappenplan/. Ik denk dat je daarmee goed opweg geholpen wordt.

Onze eigen verwerkersovereenkomst is nog niet klaar. Wij realiseren ons dat we hierin een voorbeeldfunctie vervullen en dat we erg laat zijn. Echter dat we het graag goed willen doen en het document in duidelijke taal willen aanbieden zorgt voor vertraging. We werken hard door en zullen jou en onze leden op de hoogte stellen zodra we klaar zijn.

Hoi,

met welke partijen heb je nu precies een verwerkingsovereenkomst nodig?
– De webhost aanbieder? (ivm de backup die ze maken?)
– Payment? (Mollie geeft aan dat het niet nodig is)
– PostNl? (Aangezien ze bestanden met klant gegevens ontvangen?)
– Enig ander?

Eigenlijk moet je verwerkingsovereenkomsten sluiten met alle partijen die persoonsgegevens van jouw klanten ontvangen of kunnen inzien. De webhost en je verzender vallen daar onder. Een PSP als Mollie kan er onder vallen, maar in dit geval is het proces van Mollie zo dat ze enkel het ordernummer en orderbedrag van jou ontvangen en geen klantgegevens. In dat geval is dus geen verwerkersovereenkomst nodig.

Je zult voor de rest in kaart moeten brengen welke gegevens je allemaal opslaat en deelt met welke partijen. Denk daarbij aan een leverancier die rechtstreeks naar de klant stuurt, factuursoftware, maar ook plugins voor je website die persoonsgegevens kunnen verzamelen. Bijvoorbeeld Google Analytics.

Andere partijen waar je wat mee op papier moet zetten zijn o.a. boekhouders en andere freelancers die je inhuurt. Met hen moet je o.a. afspreken dat ze zaken geheim houden, goed beveiligen, etc.

Breng dus eerst goed in kaart welke gegevens je allemaal verzameld en hoe deze gedeeld worden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *