Risico op boetes
Misschien herinner je het je nog. Mei 2018: paniek alom. Een verwerkersovereenkomst is verplicht! En sluit je die niet? Dan staan er hoge boetes te wachten.
De haast en paniek zijn gelukkig niet meer aan de orde. Maar de verplichting om een verwerkersovereenkomst te sluiten wel. Anno 2021 zijn bedrijven nog steeds aan het worstelen met dit fenomeen. De meningen zijn verdeeld over wie verantwoordelijk is voor het aanleveren van zo’n overeenkomst. Spoiler alert! Dat zijn jullie allebei.
Een verwerker en een verwerkingsverantwoordelijke sluiten altijd een verwerkersovereenkomst
De verwerker is de persoon, organisatie of overheidsinstelling die ten behoeve van een ander persoonsgegevens verwerkt. De verwerker gebruikt de persoonsgegevens niet voor zijn eigen doeleinden. De persoonsgegevens worden juist ingezet voor de doeleinden die de verwerkingsverantwoordelijke bepaalt. Denk bijvoorbeeld aan de leverancier van je online CRM systeem. De leverancier doet met de contactgegevens van jouw klanten niets, tenzij jij dat van hem vraagt. En jij bepaalt wat er met die gegevens van jouw klanten gebeurt, dus jij bent verwerkingsverantwoordelijke.
Dat ziet er bijvoorbeeld zo uit:
Betrokkenen
Delen persoonsgegevens
Verwerkingsverantwoordelijke
Verwerkt persoonsgegevens voor eigen doeleinden en bepaalt daarvoor de middelen
Verwerker
Wordt ingeschakeld door de Verwerkingsverantwoordelijke om delen van de verwerking namens hem uit te voeren.
Subverwerker
Wordt op zijn beurt ingeschakeld door de verwerker, om te ondersteunen bij de verwerking.
Er is ook nog zoiets als een ‘subverwerker’
De term subverwerker komt niet voor in de privacywet. Subverwerker is de naam die bedacht is voor de leverancier van de verwerker. In de keten is dat dus de verwerker van de verwerker. Die leverancier is bijvoorbeeld de hostingpartij. Die hoster host de data in het CRM systeem. Hij doet dit ten behoeve van de verwerker. Niet voor de eigen doeleinden van de verwerker, maar de doelen van de verwerkingsverantwoordelijke.
Ook de subverwerker en de verwerker moeten een verwerkersovereenkomst sluiten met elkaar.
Maak afspraken over privacy
Wanneer je persoonsgegevens opslaat, beheert of weggooit in opdracht van een ander, moet je dus een verwerkersovereenkomst sluiten. Dat betekent dat je met elkaar afspraken maakt over hoe en hoelang de persoonsgegevens opgeslagen of beheerd mogen worden. Of wanneer de gegevens mogen worden verwijderd. Die afspraken mag je in een los contract met elkaar maken. Maar het mag ook onderdeel uitmaken van alle afspraken die je met elkaar hebt. Zoals in de algemene voorwaarden.
Vraag je je af of je überhaupt persoonsgegevens verwerkt? En of je dan verwerker bent? Neem contact op, dan kijken we daar samen naar.