Onderzoek Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft vorig jaar bij 31 organisaties in de private sector uit diverse sectoren onderzoek gedaan naar het gebruik van verwerkersovereenkomsten. Het doel van het onderzoek was een beter beeld krijgen van hoe organisaties verwerkersovereenkomsten opstellen. Conclusie: er zijn veel verschillende verwerkersovereenkomsten in gebruik en een uniforme verwerkersovereenkomst bestaat niet. Door de open normen van de Algemene verordening gegevensbescherming (AVG) is vaak sprake van maatwerk. Dit is vaak een vereiste, omdat niet iedere organisatie en/of iedere verwerking hetzelfde is. De diversiteit in verwerkingsovereenkomsten is niet fout. Het is wel belangrijk dat de inhoud van de documenten in voldoende mate voldoet aan de AVG-voorwaarden en -bepalingen. Dit blijkt vaak niet het geval.

Overeenkomsten niet conform AVG-eisen

Niet alleen heeft de AP verschillende verwerkersovereenkomsten ontvangen die niet voldoen aan de AVG-eisen, ook stelde zij vast dat er nog veel bewerkersovereenkomsten in omloop zijn. Dit zijn voorlopers van de verwerkingsovereenkomst die onder de (inmiddels niet meer geldende) Wet Bescherming Persoonsgegevens vielen. Met de komst van de AVG zijn de vereisten aangescherpt, waardoor de oude ‘bewerkersovereenkomst’ niet meer voldoet. Het is dan ook belangrijk om oude overeenkomsten aan te passen aan de verscherpte vereisten van de AVG.

Verwerkersovereenkomst verplicht

Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld als zij de salarisadministratie uitbesteden, een callcenter inhuren of een website laten hosten. Zo’n andere organisatie heet een verwerker. Maakt u gebruik van een dergelijke dienstverlener? Dan bent u verplicht om met deze partij een verwerkingsovereenkomst aan te gaan. Zo sluit u als verwerkingsverantwoordelijke uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de AVG.

Onderwerpen verwerkingsovereenkomst

In de verwerkingsovereenkomst moeten onder andere de volgende onderwerpen worden geregeld:

• aansprakelijkheid;
• geheimhouding;
• beveiligingsmaatregelen;
• duur van de gegevensverwerking;
• specifieke doeleinden van de verwerking;
• toestemming om bij de verwerker audits af te nemen ter controle;
• de verwerker moet eerst toestemming van u krijgen om een andere partij in te schakelen voor de ondersteuning bij de verwerking van persoonsgegevens.

Aanbevelingen AP

De AP benadrukt dat degelijke, periodiek bijgewerkte verwerkersovereenkomsten onderdeel vormen van een goede bedrijfsvoering. Organisaties die steeds meer door data gedreven worden, worden geadviseerd te investeren in werkende verwerkersovereenkomsten als onderdeel van hun datahuishouding. De AP geeft in dit kader dan ook een aantal algemene aanbevelingen voor organisaties, te weten:

• Maak op basis van uw verwerkingsregister inzichtelijk welke organisaties u inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst geldt of vereist is.
• Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen. Sluit aan op bestaande processen voor contractmanagement en herzie de overeenkomsten periodiek.
• Maak afspraken en maatregelen concreet. Een verwerkersovereenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Benoem bijvoorbeeld concrete bewaartermijnen of maak concreet welke beveiligingsmaatregelen worden getroffen.

Meer weten?

Sinds de invoering van de AVG controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. Zorg daarom dat uw organisatie voldoet aan de AVG. De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacyrecht, en kunnen u bijstaan bij het opmaken van verwerkersovereenkomsten en/of het algehele privacybeleid. Met behulp van onze juristen kunt u checken of uw organisatie voldoet aan de voorwaarden en bepalingen van de AVG.

Bij ABAB Legal zijn we graag van betekenis. Door kennis te delen, advies te geven en voor inzicht te zorg. Neem voor meer informatie of advies contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.