Een verwerkersovereenkomst is een contract tussen een verwerkingsverantwoordelijke en een verwerker. Hierin worden afspraken vastgelegd over hoe de verwerker persoonsgegevens verwerkt namens de verantwoordelijke. Dit document is verplicht onder de Algemene Verordening Gegevensbescherming (AVG). Maar wat moet er precies in een verwerkersovereenkomst staan? In deze blog bespreken we alle verplichte onderdelen.
Algemene beschrijving van de verwerking
Een verwerkersovereenkomst start met een duidelijke omschrijving van de verwerking. Dit omvat:
- Het onderwerp van de verwerking.
- De duur van de verwerking.
- De aard en het doel van de verwerking.
- Het soort persoonsgegevens dat wordt verwerkt.
- De categorieën van betrokkenen.
- De rechten en verplichtingen van de verwerkingsverantwoordelijke.
Een heldere beschrijving voorkomt misverstanden en waarborgt transparantie.
Instructies voor de verwerking
De verwerker mag de persoonsgegevens uitsluitend verwerken volgens de schriftelijke instructies van de verwerkingsverantwoordelijke. Zelfstandig gebruik van de gegevens door de verwerker is niet toegestaan. Dit voorkomt ongeoorloofd gebruik en verhoogt de controle over de verwerking.
Geheimhoudingsplicht
Iedereen die namens de verwerker toegang heeft tot de persoonsgegevens, moet een geheimhoudingsplicht naleven. Dit geldt voor medewerkers, freelancers en andere betrokkenen. Deze bepaling waarborgt de vertrouwelijkheid van de gegevens.
Beveiliging van de persoonsgegevens
De verwerker moet passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen. Dit omvat:
- Pseudonimisering en versleuteling van gegevens.
- Permanente monitoring van informatiebeveiliging.
- Herstelprocedures voor beschikbaarheid en toegang bij incidenten.
- Regelmatige beveiligingstesten.
Deze maatregelen minimaliseren de risico’s op datalekken en onbevoegde toegang.
Gebruik van subverwerkers
De verwerker mag geen subverwerkers inschakelen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. Indien subverwerkers worden ingezet, moeten zij dezelfde verplichtingen nakomen als de verwerker. Bovendien blijft de verwerker aansprakelijk als de subverwerker zich niet aan de afspraken houdt.
Privacyrechten van betrokkenen
De verwerker moet meewerken aan het naleven van de privacyrechten van betrokkenen, zoals:
- Recht op inzage.
- Recht op correctie.
- Recht op verwijdering.
- Recht op dataportabiliteit.
Hierdoor kunnen betrokkenen hun rechten effectief uitoefenen.
Overige verplichtingen van de verwerker
De verwerker ondersteunt de verwerkingsverantwoordelijke bij:
- Het melden van datalekken.
- Het uitvoeren van een Data Protection Impact Assessment (DPIA).
- Een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens.
Hiermee voldoet de verwerkingsverantwoordelijke aan de AVG-verplichtingen.
Verwijdering of teruggave van gegevens
Na afloop van de verwerking moet de verwerker de persoonsgegevens verwijderen of teruggeven. Ook alle kopieën moeten worden gewist, tenzij er een wettelijke bewaarplicht geldt.
Audits en controles
De verwerker moet meewerken aan audits en controles van de verwerkingsverantwoordelijke of een derde partij. Daarnaast moet de verwerker alle relevante informatie verstrekken om aan te tonen dat hij voldoet aan de AVG-verplichtingen.
