Werk je samen met een externe partij die persoonsgegevens voor jou verwerkt? Dan is de kans groot dat je een verwerkersovereenkomst nodig hebt. Toch zien we dat veel organisaties dat vergeten, of denken dat het alleen nodig is voor ‘grote bedrijven’. Dat is een misverstand – ook als je met een zzp’er werkt of een eenvoudige tool gebruikt waarin klantgegevens staan, kan het verplicht zijn.
Wanneer heb je een verwerkersovereenkomst nodig?
Heel simpel gezegd: als jouw organisatie bepaalt wat er met de persoonsgegevens gebeurt (doel en middelen), en een ander voert het uit, dan is die ander een verwerker. Denk aan een:
- Boekhouder die salarisgegevens verwerkt
- Websitebouwer die toegang heeft tot je CMS
- Nieuwsbrieftool of CRM-systeem
- IT’er die regelmatig in je systemen inlogt
- SaaS-dienst voor ledenadministratie of facturatie
In al deze gevallen ben jij de verwerkingsverantwoordelijke en moet je met de dienstverlener een verwerkersovereenkomst afsluiten. Daarin leg je vast wat die partij wél en niet mag doen met de persoonsgegevens, hoe de beveiliging geregeld is en wat er gebeurt bij bijvoorbeeld een datalek.
Wat staat er in zo’n overeenkomst?
Een goede verwerkersovereenkomst bevat afspraken over onder andere:
- De rolverdeling: wie is verwerker, wie is verantwoordelijke
- Wat voor gegevens er verwerkt worden
- Welke beveiligingsmaatregelen worden genomen
- Of er subverwerkers worden ingezet (en met welke voorwaarden)
- Wat er gebeurt bij een datalek
- Hoe je omgaat met inzageverzoeken van betrokkenen
- Wat er gebeurt als de samenwerking stopt
Waarom is een verwerkersovereenkomst zo belangrijk?
Je bent als verwerkingsverantwoordelijke altijd eindverantwoordelijk. Ook als een fout wordt gemaakt door een externe partij, kan jij worden aangesproken. Door heldere afspraken te maken en die goed vast te leggen, voorkom je problemen en voldoe je aan de AVG.
Bovendien helpt een verwerkersovereenkomst om verwachtingen helder te maken. Wat mag iemand met de gegevens doen? Hoe zorg je dat de beveiliging op orde is? Wie moet wanneer in actie komen bij een incident?