Werk je met persoonsgegevens van klanten, medewerkers of gebruikers? En schakel je daarbij externe partijen in, zoals een boekhouder, marketingbureau of softwareleverancier? Dan ben je volgens de AVG (Algemene Verordening Gegevensbescherming) verplicht om een verwerkersovereenkomst af te sluiten. Lees hier wat dat precies is, wat erin moet staan en waarom het zo belangrijk is.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een contract waarin je afspraken maakt over hoe een externe partij met persoonsgegevens omgaat die jij laat verwerken. Denk aan situaties waarin je iemand inschakelt voor:
- Loonadministratie,
- Het versturen van nieuwsbrieven,
- Of het hosten van je website.
Die partij verwerkt persoonsgegevens namens jou, en dan eist de AVG dat dit schriftelijk wordt vastgelegd.
Een verwerkersovereenkomst kan onderdeel zijn van een bredere samenwerkingsovereenkomst, maar het mag ook een apart document zijn. Belangrijk is dat je altijd duidelijk omschrijft welke gegevens worden verwerkt, waarom, en in welke context.
Wie is wie?
Volgens de AVG zijn er twee rollen:
- Verwerkingsverantwoordelijke: de organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt. Dit ben jij, als je de opdracht geeft.
- Verwerker: de partij die de gegevens namens jou verwerkt. Denk aan een softwareleverancier, een marketingbureau of een salarisverwerker.
In de verwerkersovereenkomst leg je vast wat de verwerker wél en niet mag doen, hoe gegevens beveiligd worden, en wat er gebeurt bij bijvoorbeeld een datalek.
Wat moet er in de overeenkomst staan?
De AVG stelt een aantal onderdelen verplicht. In de verwerkersovereenkomst moet in elk geval worden opgenomen:
- Welke persoonsgegevens worden verwerkt (bijv. naam, e-mailadres, kenteken);
- Van wie die gegevens zijn (klanten, medewerkers, gebruikers);
- Met welk doel de gegevens worden verwerkt;
- Hoe lang de gegevens worden bewaard;
- Welke beveiligingsmaatregelen zijn getroffen (bijv. encryptie, wachtwoorden);
- Wat er gebeurt bij een datalek (denk aan meldplicht);
- Wie waarvoor verantwoordelijk is;
- Of sub-verwerkers mogen worden ingeschakeld (en onder welke voorwaarden);
- Wat er gebeurt met de gegevens na afloop van de samenwerking (wissen of teruggeven).
Waarom is dit belangrijk?
Een goede verwerkersovereenkomst zorgt ervoor dat persoonsgegevens veilig worden verwerkt én dat helder is wie waarvoor verantwoordelijk is. Daarmee bescherm je de privacy van je klanten, medewerkers of gebruikers én voldoe je aan de AVG. Heb je geen overeenkomst, terwijl dat wel verplicht is? Dan loop je het risico op forse boetes.
Hulp nodig?
Twijfel je of je een verwerkersovereenkomst nodig hebt? Of wil je een bestaande overeenkomst laten controleren? Onze juristen kijken graag met je mee. Zo weet je zeker dat je voldoet aan de regels én goed beschermd bent. Meer weten of direct contact? Klik hier.