Geplaatst 27-10-22
Waarom een verwerkersovereenkomst?
Elk bedrijf dat van plan is persoonsgegevens te laten verwerken, moet een verwerkersovereenkomst hebben met de leverancier. Dit is een juridisch bindende overeenkomst tussen het bedrijf (verwerker) en de organisatie waarvoor zij gegevens verwerken (verwerkingsverantwoordelijke). De overeenkomst beschrijft de omvang van de verwerking, de taken en verantwoordelijkheden van beide partijen, en de maatregelen die zijn genomen om de persoonsgegevens van mensen te beschermen. De overeenkomst voorziet ook in een mechanisme voor het oplossen van eventuele geschillen.
Met een gegevensverwerkingsovereenkomst kunnen bedrijven hun inzet voor gegevensbescherming aantonen en vertrouwen opbouwen bij hun klanten. Dit kan op zijn beurt de verkoop en de reputatie ten goede komen. Er zijn dus veel goede redenen voor bedrijven om een verwerkersovereenkomst te sluiten.
Wat moet er in een verwerkersovereenkomst staan?
Een verwerkersovereenkomst neemt doorgaans het AVG als leidraad. Volgens deze verordening moeten een aantal zaken in ieder geval in de verwerkersovereenkomst zijn opgenomen. Let er dus bij het opstellen van de overeenkomst op dat de volgende zaken ook daadwerkelijk zijn opgenomen:
-
algemene kenmerken: het onderwerp, het doel, de duur en de aard van de verwerking;
-
het recht om de verwerker schriftelijk instructies te geven;
-
de voorwaarde dat de verwerker de nodige technische en organisatorische maatregelen moet hebben getroffen om eventuele datalekken te voorkomen;
-
het recht voor de verwerkingsverantwoordelijke om de deze maatregelen van de verwerker te (laten) auditen;
-
de voorwaarde dat de verwerker te alle tijden personeel met afspraken over vertrouwelijkheid inzet;
-
bijstand door de verwerker wanneer er sprake is van een datalek (met vermelding van een meldingstermijn en het gebruik van een datalekprotocol);
-
medewerking van de verwerker als iemand beroep doet op zijn of haar AVG-rechten, wanneer de persoonsgegevens ook daadwerkelijk via de verwerker worden verwerkt;
-
medewerking van de verwerker in het geval van een gegevensbeschermingseffectbeoordeling (DPIA) of een voorafgaande raadpleging;
-
teruggave of vernietiging van de gegevens bij het beëindigen van de samenwerking
-
een duidelijke procedure voor wanneer een verwerker een andere (sub)verwerker inschakelt. Daarbij worden alle overeengekomen eisen, voorwaarden en plichten doorgezet naar de (sub)verwerker en hier draagt de gecontracteerde verwerker de volledige aansprakelijkheid voor;
Als je in ieder geval rekening houdt met deze factoren, ben je al snel op weg naar een succesvolle verwerkersovereenkomst.
Effectief privacymanagement?
Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor AVG en Toezicht.
Privacyafspraken in TrustBound
TrustBound GRC ondersteunt bij het vastleggen en bijhouden van afspraken met elke organisatie waarmee persoonsgegevens uitgewisseld worden. Soms zijn dat verwerkersovereenkomsten, maar ook andere vormen zoals gegevensuitwisselingsovereenkomst en overeenkomst gezamenlijke verantwoordelijkheid persoonsgegevens worden geregistreerd. Door slimme koppeling met de verwerking van gegevens in het register is voor de verantwoordelijke voor processen direct zichtbaar of de afspraken met de leveranciers op orde zijn.
Zo draagt TrustBound direct bij aan het samenwerken aan bescherming van persoonsgegevens.