#

Verwerkers: wat moet je met leveranciers regelen als ze verwerker zijn?

In deze blog gaan we na wat jouw organisatie (als verantwoordelijke) moet regelen met een leverancier die als verwerker optreedt. Om meer te weten over wat een verantwoordelijke en wat een verwerker is kun je onze blog Verantwoordelijke of verwerker? Wat ben ik en wat zijn mijn leveranciers? lezen.

Wanneer heb je een verwerkersovereenkomst nodig?

Wanneer je persoonsgegevens laat verwerken door een verwerker, dan moet je als verantwoordelijke ervoor zorgen dat:

  • de verwerking voldoende veiligheidswaarborgen heeft en
  • dat de persoonsgegevens conform de wet en jouw instructie door de verwerker worden gebruikt.

Daarnaast moet je er als verantwoordelijke actief op toezien dat jouw verwerkers ook aan hun verplichtingen uit de AVG voldoen. De AVG geeft aan dat dit geregeld moet worden door middel van een schriftelijke overeenkomst.

Wat moet er in een verwerkersovereenkomst staan?

Persoonsgegevens mogen door een verwerker alleen in opdracht en volgens de aanwijzingen van de verantwoordelijke worden verwerkt. De verwerkersovereenkomst moet specifiek de verwerking door de verwerker omschrijven.

De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen. De overeenkomst moet een geheimhoudingsplicht bevatten voor de verwerker en zijn personeel. Een verwerker mag de persoonsgegevens waar jullie verantwoordelijke voor zijn dus niet op eigen initiatief voor een ander doel gaan verwerken.

(Sub) Verwerkers

De verwerker mag geen andere (sub)verwerker gebruiken zonder voorafgaande toestemming van de verantwoordelijke. De verwerker moet de verantwoordelijke informeren over eventuele veranderingen van (toevoeging of vervanging van)(sub) verwerkers. Daarnaast moet de verantwoordelijke de mogelijkheid hebben om tegen eventuele veranderingen in (sub)verwerkers bezwaar te maken. Als verantwoordelijke wil je niet dat een leverancier bijvoorbeeld in zee gaat met een (sub)verwerker die bekent staat om zijn slechte beveiliging.

Alle (sub)verwerkers moeten aan dezelfde eisen voldoen als de “hoofd” verwerker (de leverancier van jouw organisatie). De leverancier moet alle verplichtingen uit de verwerkersovereenkomst met jouw organisatie doorleggen aan zijn leveranciers die de persoonsgegevens verwerken. Als de (sub)verwerker zijn verplichtingen bij de bescherming van persoonsgegevens niet nakomt, dan blijft jullie leverancier (als verwerker) volledig aansprakelijk richting de verantwoordelijke voor het nakomen van de verplichtingen van die andere (sub)verwerker(s).

Controle

Het is daarom ook in het belang van de leverancier van jouw organisatie (in zijn rol als verwerker) om de zaken goed te regelen. Een verantwoordelijke moet controleren of de gegevens op de juiste manier door de verwerker worden gebruikt. Daarom moet in een verwerkersovereenkomst opgenomen worden dat de verwerker verplicht is om mee te werken aan controles om er zeker van te zijn dat de verwerkersovereenkomst nagekomen wordt. Als de verantwoordelijke de overeenkomst beëindigd met de verwerker, dan moet de verwerker de persoonsgegevens teruggeven aan jouw organisatie of wissen.

Ook is het belangrijk om met de verwerker afspraken te maken over hulp bij datalekken en bij verzoeken van betrokkenen die hun rechten willen uitoefenen. Misschien moet de verwerker bijvoorbeeld ook informatie verschaffen bij een beroep van een betrokkene op zijn of haar recht op inzage, recht op correctie of beperking van de verwerking.

Wat te doen?

Organisaties moeten ervoor zorgen dat voor 25 mei 2018 er een aangepaste verwerkersovereenkomst is gesloten met alle leveranciers die verwerker zijn. Stap 1 is om in kaart te brengen welke leveranciers verwerker zijn. Stap 2 is om de bestaande verwerkersovereenkomst te controleren om te kijken of die voldoet aan de eisen van de AVG.

Belangrijkste verplichtingen in een verwerkersovereenkomst

Voor het gemak hebben we hieronder de belangrijkste verplichtingen die in een verwerkersovereenkomst moeten staan zijn op een rij gezet, namelijk dat:

De belangrijkste onderdelen die in een verwerkersovereenkomst geregeld moeten worden zijn dat:

  1. de verwerker mag alleen handelen in overeenstemming met de opdracht van de verantwoordelijke;
  2. de verwerker een register bijhoudt, tenzij er een uitzondering zoals omschreven in artikel 30 lid 5 van toepassing is;
  3. de overeenkomst een geheimhoudingsplicht bevat voor de verwerker en zijn personeel;
  4. de verwerker passende technische en organisatorische beveiligingsmaatregelen;
  5. de verwerker een lijst met eventuele sub-verwerkers die zij gebruikt als bijlage heeft toegevoegd aan de overeenkomst en dat aan deze sub-verwerkers dezelfde eisen worden gesteld als aan de verwerker zelf;
  6. de verwerker mag geen sub-verwerkers inschakelen zonder toestemming van de 
verantwoordelijke;
  7. de verwerker moet de verantwoordelijke onverwijld (bijvoorbeeld binnen 24 uur) op de hoogte stellen van een datalek;
  8. de verwerker is verplicht mee te werken bij een verzoek van de toezichthouder 
(Autoriteit Persoonsgegevens);
  9. de verwerker, als dat nodig is,  een functionaris voor gegevensbescherming (FG) aanstelt;
  10. de verantwoordelijke audit rechten heeft om te kunnen controleren of de verwerker de afspraken naleeft;
  11. duidelijk is waar de gegevens (ook bij subverwerkers) opgeslagen worden;
  12. er duidelijke afspraken zijn over wat er met de gegevens gebeurt na het einde van de overeenkomst. Hebben jullie de keuze dat alle persoonsgegevens door de verwerker worden gewist of teruggegeven, en worden bestaande kopieën verwijderd?

Als bepaalde verwerkersovereenkomsten nog niet aan de eisen uit de AVG voldoen, dan is het belangrijk om zo snel mogelijk met de leverancier die verwerker is om tafel te gaan zitten om een nieuwe / aangepaste verwerkersovereenkomst te sluiten.

Gerelateerde berichten