Ga naar de inhoud

Wat is een verwerkersovereenkomst?

Het is common practice dat een organisatie werkzaamheden uitbesteed aan leveranciers. Wellicht doet een online bureau de vormgeving van de landingspagina’s en vangen zij de leads af of wordt geadresseerde post verstuurd door een verzendhuis. In dat geval moet er een verwerkersovereenkomst worden gesloten tussen opdrachtgever en leverancier. Een verwerkersovereenkomst is een overeenkomst waarin afspraken staan over de verwerking van persoonsgegevens. Het maken van zulke afspraken is een verplichting onder de AVG als een organisatie in opdracht van een andere organisatie persoonsgegevens verwerkt, zonder onder het directe gezag te staan van die organisatie. In een verwerkersovereenkomst staat:

  • Een uitgebreide opdrachtomschrijving, wat doet de verwerker?
  • Instructies aan de verwerker over de verwerking.
  • Een geheimhoudingsplicht.
  • Eisen aan de technische en organisatorische beveiliging, denk bijvoorbeeld aan back-ups, EU hosting of twee factor authenticatie.
  • Afspraken over het inschakelen van subverwerkers.
  • Afspraken over hulp van de verwerker als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
  • Dataretentie: hoe lang mag de verwerker de gegevens bewaren en wanneer moet hij deze vernietigen of teruggeven.
  • Het recht van de opdrachtgever om de verwerker te controleren op naleving van de afspraken d.m.v. een audit.