Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: AVG: Europese Privacyverordening | Bescherming persoonsgegevens | Verwerkersovereenkomst | Binding Corporate Rules | Cookies | Dataretentie | Datalekken | Data Protection Officer of Functionaris Gegevensbescherming | Doorgifte persoonsgegevens | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Vergeetrecht
Sinds de komst van de Algemene Verordening Gegevensbescherming AVG is verwerkersovereenkomst de nieuwe benaming voor 'bewerkersovereenkomst'.
Evenzo is verwerkingsverantwoordelijke de nieuwe term voor 'verantwoordelijke' en verwerker de nieuwe term voor 'bewerker'.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een derde partij inschakelt.

Een organisatie die persoonsgegevens verwerkt heeft een verantwoordingsplicht ('accountability'). Het opstellen van verwerkersovereenkomst is hier onderdeel van.
De verwerkingsverantwoordelijke (Engels: 'controller') is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze officiële naam wordt vaak afgekort tot 'verantwoordelijke'. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens.

De verwerker (Engels: 'processor') is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor dat voor het bedrijf de salarisadministratie afhandelt verwerker zijn.

De verwerkersovereenkomst is de overeenkomst tussen verantwoordelijke en verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Beide partijen moeten ervoor zorgen dat dit ook gebeurt.

Zie de pagina Persoonsgegevens voor het begrip verwerken.
Lees ook de toelichting van de Artikel 29-werkgroep over de begrippen controller en processor. De Artikel 29-werkgroep is met de komst van de AVG vervangen door de European Data Protection Board.
Online zijn diverse generatoren die snel een verwerkersovereenkomst kunnen produceren.

De Engelse benaming voor verwerkersovereenkomst is data processing agreement (DPA).

Wanneer is een verwerkersovereenkomst nodig?

Verwerker - werk in uitvoering Als een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens 'uitbesteedt', is een schriftelijke overeenkomst vereist.

Besef dat er algauw sprake is van 'verwerken' van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking.

Een verwerkersovereenkomst hoeft geen losse overeenkomst te zijn. Het is juist een goed idee om in algemene(re) overeenkomsten afspraken te maken over de verwerking van persoonsgegevens. Daarmee wordt dit uniform geregeld en niet vergeten.

Onderwerpen in een verwerkersovereenkomst

Over het algemeen zijn onderstaande onderwerpen in de verwerkersovereenkomsten terug te vinden.

Zzp'ers, freelancers en ict-bedrijven

Mensen die in de ict werkzaam zijn hebben vaak te maken met het verwerken van persoonsgegevens. Wanneer een organisatie gebruik maakt van externe medewerkers die persoonsgegevens onder ogen krijgen dan moet hiervoor iets geregeld worden.
Als een ict-bedrijf wordt ingehuurd dan moet de inhuurder met dat ict-bedrijf een verwerkersovereenkomst opstellen. Waarschijnlijk zal het ict-bedrijf haar medewerkers vragen om een geheimhoudingsverklaring te tekenen (die meestal voor alle klanten of opdrachten geldt).
Bij het inhuren van individuele ict'ers kunnen twee situaties ontstaan: de inhuurkracht werkt alle dagen op kantoor van de inhuurder en gedraagt zich feitelijk als een gewone werknemer waardoor er geen verwerkersovereenkomst nodig is. Of: de inhuurkracht bepaalt grotendeels zelf de invulling van de werkzaamheden waardoor er geen gezagsverhouding is. Een verwerkersovereenkomst is hier nodig.
De inschatting van de manier waarop de ict'er werkt vertoont sterke overeenkomsten met die van de Wet DBA

Verwerkingsregister: register van verwerkingen

Een verwerker heeft een documentatieplicht. Daarvoor is het verplicht een register bij het houden met alle verwerkingsactiviteiten.
Enkele verplichtingen die de AVG in art. 30 noemt: Op de website van de Belgische toezichthouder Gegevensbeschermingsautoriteit GBA is een model voor een register van verwerkingen te vinden. Dit model is gebaseerd op een indeling van verwerkingen op basis van processen.

Verwerkersovereenkomst - bewerkersovereenkomst

De term bewerkersovereenkomst is met de komst van de AVG aangepast in de term verwerkersovereenkomst. Op dezelfde manier heeft het begrip verwerker de plaats ingenomen van bewerker.
Tegelijkertijd is term 'verantwoordelijke' ('controller') vervangen door verwerkingsverantwoordelijke.
De Engelstalige versies worden ook vaak gebruikt:
Verwerker : 'processor'
Verwerkingsverantwoordelijke : 'controller'