Artikelen en blog
Ondernemers of organisaties die persoonsgegevens door anderen (bijvoorbeeld een externe boekhouder) laten verwerken moeten op grond van art. 28 lid 3 AVG met die verwerkers een verwerkersovereenkomst sluiten, waarin bepaalde onderwerpen zijn geregeld. Het is een instrument om ervoor te zorgen dat er netjes met persoonsgegevens van anderen wordt omgegaan.
Verwerkingsverantwoordelijke of verwerker?
De AVG maakt onderscheid tussen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Maar wat is het verschil? Ben je een natuurlijke persoon (bijv. eenmanszaak) of rechtspersoon (bijv. BV, stichting, overheidsinstelling) die alleen of samen met anderen vaststelt (1) welke persoonsgegevens (2) voor welk doel en (3) op welke manier (met welke middelen), dan ben je verwerkingsverantwoordelijke.
In een samenwerking of co-creatie kunnen het doel en de middelen gezamenlijk worden bepaald en zal er een gezamenlijke verantwoordelijkheid zijn.
Werk je extern in opdracht van de verwerkingsverantwoordelijke en verwerk je de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke (bijvoorbeeld als boekhouder), dan ben je verwerker.
Vormgeving
De verwerking van persoonsgegevens door een verwerker kan op verschillende manieren worden geregeld. Art. 28 lid 3 spreekt van ‘een overeenkomst of andere rechtshandeling’. De overeenkomst moet schriftelijk of elektronisch worden aangegaan (art. 28 lid 9 AVG), maar in de verdere vormgeving zijn partijen vrij. Een veel voorkomende methode is om die bij te sluiten bij de hoofdovereenkomst (dus bij bijvoorbeeld de overeenkomst van opdracht voor de diensten). Een andere methode is om ze mee te nemen bij de algemene voorwaarden van de kant van de verwerker, alleen verdient de toepasselijkheid en juiste terhandstelling dan extra aandacht om ze inderdaad tussen partijen te laten gelden. Het is ook mogelijk om de verplichte onderwerpen over de omgang met persoonsgegevens in de hoofdovereenkomst te verwerken, maar dat maakt de hoofdovereenkomst erg lang. Ten behoeve van actualisatie van tijd tot tijd, denk aan het soort persoonsgegevens, risico’s en passende maatregelen, kan gebruik worden gemaakt van bijlagen.
Onderwerpen
Art. 28 lid 3 AVG bepaalt ook welke onderwerpen verplicht in die overeenkomst of andere rechtshandeling opgenomen moeten worden. Het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke moeten worden omschreven. Onderwerpen of verplichtingen die verder moeten worden geregeld, zijn kortgezegd:
• verplichting verwerker om uitsluitend persoonsgegevens te verwerken op schriftelijke instructies van de verantwoordelijke;
• vertrouwelijkheid/geheimhouding;
• passende technische en organisatorische maatregelen;
• inschakeling van subverwerkers;
• uitoefening rechten van betrokkenen;
• beveiliging, datalekmeldplicht en medewerking bij gegevensbeschermingseffectbeoordeling (DPIA);
• vernietiging of teruggave persoonsgegevens bij einde overeenkomst;
• medewerking bij audits.
Partijen kunnen hun verwerkersovereenkomst verder aanvullen met standaardbepalingen over bijvoorbeeld aansprakelijkheid, rechtskeuze en forumkeuze.
Met een goede verwerkersovereenkomst die past bij de situatie, goede invulling van de andere AVG-plichten en nette omgang met persoonsgegevens kun je een boete van de Autoriteit Persoonsgegevens voorkomen.
Lees ook het artikel ‘Verwerkingsverantwoordelijke, bezint eer ge begint!!’ en de blogposts ‘Het verwerkingsregister’ en ‘Toestemming als AVG-grondslag’.
Maart 2023
Disclaimer
De artikelen en blogposts van Legalance bieden algemene informatie en zijn niet bedoeld als advies. Er is niet beoogd volledigheid over een bepaald leerstuk na te streven . Ook kande informatie verouderd, onvolledig en/of onjuist zijn door wijzigingen in wet- en regelgeving, nieuwe rechtspraak of andere ontwikkelingen. Aan de hier aangeboden informatie kunnen dan ook geen rechten worden ontleend. De auteur daarvan kan niet aansprakelijk worden gehouden voor de gevolgen van het gebruik, op welke wijze dan ook, van deze informatie.
Welkom bij Legalance. Ik ben Anneke, jurist voor ondernemers en particulieren. Ook werk ik als freelance-jurist* of teken ik voor legal design. Hier vind je artikelen en blogposts op het gebied van bestuursrecht, erfgoedrecht (incl. werelderfgoed), horecarecht, ICT-recht, intellectueel eigendomsrecht, kunstrecht, mededingingsrecht, mensenrechten, omgevingsrecht, privaatrecht, privacy en verwerking persoonsgegevens (AVG), (goederen) vervoersrecht en veterinair recht (multidisciplinair).
Ben je niet op zoek naar een advocaat, maar wel naar de juridische oplossing, vraagbaak of ondersteuning die bij jou, je bedrijf of organisatie past? Laten we eens kennismaken.
*Jurist of paralegal vanuit Spijkenisse, vanaf Voorne-Putten (bij Rotterdam).