Dit moet je weten over een AVG verwerkersovereenkomst

AVG, GDPR, Wbp, klinken deze termen al bekend bij je in de oren? Sinds 25 mei 2018, of eigenlijk nú al, moet de nieuwe Privacywetgeving gesneden koek voor je zijn. Toch nog wat hulp nodig? In dit blog leggen wij je onder andere meer uit over de nieuwe AVG wetgeving en wat het doel is van een AVG verwerkersovereenkomst. Benieuwd of jij een dergelijke overeenkomst nodig hebt voor jouw organisatie? Lees dan vooral verder.

AVG

Laten we je geheugen eerst wat opfrissen. Sinds 25 mei 2018 wordt de Algemene verordening Gegevensbescherming (AVG) van kracht. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). 3 De huidige Nederlandse Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer, maar wordt vervangen door een Nederlandse AVG-uitvoeringswet.

Voorheen was het zo dat iedere lidstaat in de Europese Unie (EU) een eigen privacy wetgeving hanteert. Deze nationale wetten zijn gebaseerd op privacyrichtlijnen die nog uit 1995 stammen. Toen stond ‘the world wide web’ nog in de kinderschoenen (weet je nog: inbellen op een modem, een zeurende moeder naast je omdat ze niet kon bellen en Altavista). We hoeven niemand te vertellen dat er sindsdien op online gebied behoorlijk wat veranderd is. De huidige regelgeving volstaat niet meer en daarom wordt de AVG van kracht.

Nieuwe Privacywetgeving

Wat verandert er dan voor mij door de nieuwe Privacywetgeving horen we je denken?

• In de AVG wetgeving worden privacyrechten versterkt en uitgebreid. We krijgen meer controle en bescherming van persoonlijke gegevens in dit digitale tijdperk. Twee belangrijke nieuwe rechten zijn onder andere:

1. Recht op vergetelheid; mensen krijgen het recht om online ‘vergeten’ te worden.

2. Recht op dataportabiliteit; mensen krijgen het recht om persoonsgegevens over te dragen.

• Volgens de AVG wet krijgen organisaties die de persoonsgegevens verwerken bovendien meer verantwoordelijkheden. Zo hebben organisaties een informatieplicht, die inhoudt dat zij hun klanten duidelijk moeten informeren over waarom zij de persoonsgegevens verzamelen en wat zij ermee doen. Bijvoorbeeld door middel van een online privacyverklaring.
• Europese privacy toezichthouders krijgen tot slot de bevoegdheid om boetes tot wel 20 miljoen euro op te leggen.

Kortom de AVG privacywet heeft flink wat voeten in de aarde. Want Per 25 mei 2018 moet jouw gehele bedrijfsvoering op de AVG zijn aangepast. Het dwingt je dan ook om goed na te denken over hoe je om moet gaan met de gegevens van personen. Op welke manier verwerk en bescherm je deze? En voldoe je hierbij aan de AVG regels? Be aware and prepare voor behoorlijk wat administratieve rompslomp!

Heb jij bijvoorbeeld voor jouw organisatie ook al gedacht aan een verwerkersovereenkomst?

Verwerkersovereenkomst AVG

Als jouw organisatie de verwerking van persoonsgegevens uitbesteedt aan een derde partij, dan moet er volgens de GDPR wetgeving een verwerkersovereenkomst worden opgesteld. In de verwerkersovereenkomst moet nadrukkelijk worden omschreven wat de exacte afspraken zijn tussen de verwerkingsverantwoordelijke (jij dus) en een verwerker (de derde partij). Is dit niet op een juiste manier vastgelegd, dan riskeren beide partijen een fikse boete en is de verwerker aansprakelijk voor mogelijke schade die kan ontstaan. Dit wil je natuurlijk te allen tijde voorkomen.

Wat staat er in een verwerkersovereenkomst?

In de verwerkersovereenkomst moeten onder andere de navolgende zaken worden vastgelegd:

• Het onderwerp van de verwerking;
• De duur van de verwerking;
• De aard van de verwerking;
• Het doel van de verwerking;
• Het soort persoonsgegevens die worden opgeslagen;
• De manier waarop omgegaan moet worden met een datalek;
• Meer informatie over de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Ook moet er in de verwerkersovereenkomst staan dat de verwerker de persoonsgegevens niet voor andere doeleinden gebruikt. Andere belangrijke zaken zijn dat de verwerker:

• gehouden is aan strikte geheimhouding;
• de persoonsgegeven direct verwijdert of teruggeeft na afloop van de verwerkingsdiensten;
• helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. De verwerker zal dus aan verzoeken zoals recht op inzage, correcte, vergetelheid en dataportabiliteit moeten kunnen voldoen.

In onder andere de volgende situaties moet er een verwerkersovereenkomst worden opgesteld:

• Als een derde partij de hosting van je website regelt.
• Als een derde partij toegang heeft tot de back-end van jouw website.
• Als je je personeelsadministratie uitbesteedt.
• Een clouddienstverlener die jouw klantgegevens opslaat.

Het verschil tussen een bewerkersovereenkomst en een verwerkersovereenkomst

Overigens is er wat onduidelijkheid over het verschil tussen een bewerkersovereenkomst en een verwerkersovereenkomst. Het verschil is dat een bewerkersovereenkomst voorheen werd gebruikt onder de Wet bescherming persoonsgegevens (Wbp). Met de komst van de nieuwe AVG wetgeving is zowel de inhoud als de naam van dit document aangevuld en aangepast! We spreken dus sinds 25 mei 2018 niet meer over een bewerkersovereenkomst, maar van een verwerkersovereenkomst. Je komt er dus niet mee weg om simpelweg je oude bewerkersovereenkomst te behouden of een nieuwe naam te geven.

Ondersteuning bij invoering van de AVG in jouw organisatie?

Hopelijk heb je door middel van dit blog al wat meer inzicht gekregen in de nieuwe GDPR wetgeving. We kunnen ons goed voorstellen dat de invoering van deze regelgeving echter een grote kluif is en je soms door de bomen het bos even niet meer ziet. Geen zorgen! Het Red Banana AVG team helpt je graag hierbij. Aan de hand van ons AVG stappenplan nemen wij van A tot Z wat er moet gebeuren om de AVG in je organisatie op een juiste manier in te voeren en geven wij je advies op maat! Ook kunnen wij ondersteuning bieden bij het opstellen van een verwerkersovereenkomst. In samenwerking met onze partner Asselbergs en Klinkhamer Advocaten zorgen wij ervoor dat jouw organisatie nauwkeurig aan de nieuwe AVG voldoet en je niet voor onverwachte verrassingen komt te staan!

Dit artikel is geschreven in samenwerking met Red Banana. Wil je hier meer over weten neem dan contact met ons op.

[Afbeelding © Sikov – Adobe Stock]