Verwerkersovereenkomsten

De ‘verantwoordelijke’ en de ‘verwerker’ zijn verplicht een verwerkersovereenkomst te sluiten. Daarin moeten onder meer worden vastgelegd het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verantwoordelijke. De inhoud van zo’n verwerkersovereenkomst is vrij uitgebreid en wordt voor het grootste deel voorgeschreven door de AVG. 

Verkort weergegeven, moet een verwerkersovereenkomst in ieder geval bevatten:

 

(de basis)

1.    Naam/aanduiding verantwoordelijke en verwerker

2.    onderwerp en duur van de verwerking

3.    aard en doel van de verwerking

4.    soort persoonsgegevens en categorieën van betrokkenen

5.    rechten en verplichtingen van de verantwoordelijke

 

(en verder)

1.    een bepaling die de verwerker verplicht om de personen die feitelijk de verwerking  uitvoeren vertrouwelijkheid op te leggen

2.    de bepaling dat de verwerker uitsluitend persoonsgegevens verwerkt op basis  van schriftelijke instructies van de verantwoordelijke (onder meer ingeval van doorgifte aan  landen of organisaties die niet onder de AVG vallen), tenzij een bepaalde verwerking wettelijke  verplicht is (in dat geval moet de verantwoordelijke vooraf worden geïnformeerd over die  wettelijke plicht, tenzij de wet dat informeren verbiedt)

3.    de garantie dat de verwerker passende technische en  organisatorische beveiligingsmaatregelen treft en in stand houdt

4.    de bepaling dat verwerker geen sub-verwerker in mag schakelen zonder voorafgaande  specifieke of algemene toestemming van verantwoordelijke en dat, bij algemene toestemming, de  verantwoordelijke telkens voor het inschakelen van een sub-verwerker hierover wordt geïnformeerd en bezwaar kan maken

5.    de bepaling dat, als de verwerker een sub-verwerker inschakelt, met die sub-verwerker een (sub)verwerkersovereenkomst wordt gesloten die deze sub-verwerker aan dezelfde verplichtingen bindt als waaraan de verwerker zelf gebonden is mét de bepaling dat de verwerker ten opzichte van de verantwoordelijke aansprakelijk is indien de sub-verwerker diens verplichtingen niet nakomt

6.    de bepaling dat de verwerker door middel van passende maatregelen, zoveel als mogelijk, bijstand verleent aan de verantwoordelijke bij het nakomen van diens verplichtingen om verzoeken te beantwoorden van betrokkenen gebaseerd op diens rechten

7.    de bepaling dat de verwerker, zoveel als mogelijk, aan de verantwoordelijke bijstand verleent bij het kunnen nakomen van diens verplichtingen tot beveiliging van gegevensverwerking, melding van datalekken en de uitvoering en opvolging van privacy impact assessments

8.    de garantie dat de verwerker, na beëindiging van de verwerkingsdienst, alle persoonsgegevens aan de verantwoordelijk terugbezorgd indien deze dit wenst en alle persoonsgegevens verwijderd, behoudens bij een wettelijke bewaarplicht

9.    de bepaling die de verwerker verplicht om alle informatie aan de verantwoordelijke ter beschikking te stellen en mee te werken aan diens controles en audits, om zo aan te tonen dat aan alle verplichtingen uit de verwerkersovereenkomst wordt voldaan

10.  de bepaling dat de verwerker onverwijld de verantwoordelijke moet informeren indien hij van oordeel is dat een instructie van de verantwoordelijke in strijd is met de wet- en regelgeving omtrent bescherming van persoonsgegevens

 

Advocaten