Wanneer moet je een verwerkersovereenkomst sluiten? En met wie? En wat moet er in zo’n verwerkersovereenkomst komen te staan? Worstel je nog steeds met die vragen? Je bent niet de enige!
Risico op boetes
Misschien herinner je het je nog. Mei 2018: paniek alom. Een verwerkersovereenkomst is verplicht! En sluit je die niet? Dan staan er hoge boetes te wachten.
De haast en paniek zijn gelukkig niet meer aan de orde. Maar de verplichting om een verwerkersovereenkomst te sluiten wel. Anno 2021 zijn bedrijven nog steeds aan het worstelen met dit fenomeen. De meningen zijn verdeeld over wie verantwoordelijk is voor het aanleveren van zo’n overeenkomst. Spoiler alert! Dat zijn jullie allebei.
Een verwerker en een verwerkingsverantwoordelijke sluiten altijd een verwerkersovereenkomst
De verwerker is de persoon, organisatie of overheidsinstelling die ten behoeve van een ander persoonsgegevens verwerkt. De verwerker gebruikt de persoonsgegevens niet voor zijn eigen doeleinden. De persoonsgegevens worden juist ingezet voor de doeleinden die de verwerkingsverantwoordelijke bepaalt. Denk bijvoorbeeld aan de leverancier van je online CRM systeem. De leverancier doet met de contactgegevens van jouw klanten niets, tenzij jij dat van hem vraagt. En jij bepaalt wat er met die gegevens van jouw klanten gebeurt, dus jij bent verwerkingsverantwoordelijke. Dat ziet er bijvoorbeeld zo uit:
In deze afbeelding gebeurt het volgende:
- De betrokkenen (linksonder) geven hun informatie aan de verwerkingsverantwoorddelijke (in roze).
- De verwerkingsverantwoordelijke informeert die betrokkenen op datzelfde moment (of eerder) over wat precies met die persoonsgegevens gebeurt via een privacyverklaring.
- De verwerkingsverantwoordelijke slaat de gegevens van de betrokkenen op in het CRM systeem in de cloud.
- Het CRM systeem in de cloud wordt geleverd en onderhouden door de verwerker (rechts onderin).
- De verwerker en de verwerkingsverantwoordelijke hebben voor die levering een dienstovereenkomst gesloten.
In die dienstovereenkomst of bij die overeenkomst moet een verwerkersovereenkomst komen. Dat is wat de privacywet aan deze partijen verplicht stelt. En die verplichting geldt voor allebei.
Er is ook nog zoiets als een ‘subverwerker’
De term subverwerker komt niet voor in de privacywet. Subverwerker is de naam die bedacht is voor de leverancier van de verwerker. In de keten is dat dus de verwerker van de verwerker. Die leverancier is bijvoorbeeld de hostingpartij. Die hoster host de data in het CRM systeem. Hij doet dit ten behoeve van de verwerker. Niet voor de eigen doeleinden van de verwerker, maar de doelen van de verwerkingsverantwoordelijke. In de keten is dat dus:
Verwerkingsverantwoordelijke -> verwerker -> subverwerker.
Ook de subverwerker en de verwerker moeten een verwerkersovereenkomst sluiten met elkaar.
Maak afspraken over privacy
Wanneer je persoonsgegevens opslaat, beheert of weggooit in opdracht van een ander, moet je dus een verwerkersovereenkomst sluiten. Dat betekent dat je met elkaar afspraken maakt over hoe en hoelang de persoonsgegevens opgeslagen of beheerd mogen worden. Of wanneer de gegevens mogen worden verwijderd. Die afspraken mag je in een los contract met elkaar maken. Maar het mag ook onderdeel uitmaken van alle afspraken die je met elkaar hebt. Zoals in de algemene voorwaarden.
Vraag je je af of je überhaupt persoonsgegevens verwerkt? En of je dan verwerker bent? Neem contact op, dan kijken we daar samen naar.
Vragen? AdviesJurist helpt je graag op weg met praktisch juridisch advies waar je direct in de praktijk me aan de slag kunt!
AdviesJurist
&
Privacy Professional
Het overbrengen van kennis op een manier die past bij de organisatie, zorgt ervoor dat organisaties zelf tot inzichten komen.
Kies een van de adviespakketten
Klik hierDuidelijke voorwaarden en afspraken met klanten vind ik belangrijk. Dat is gelukt met de laagdrempelige algemene voorwaarden van AdviesJurist. Zo weet ik waar ik aan toe ben en mijn klanten ook.
Martijn Rootjes
