Een verwerkersovereenkomst: van moetje naar eitje

We moeten er allemaal aan geloven: de verwerkersovereenkomst. Uitstellen is nu echt geen optie meer. Op 25 mei 2018 gaat de nieuwe AVG-regeling van start en dient u uw zaken op orde te hebben. Zoals het opstellen en uitsturen van een verwerkersovereenkomst. En dat dat helemaal niet ingewikkeld hoeft te zijn leest u hier.

Wat is de AVG?

De AVG (Algemene verordening gegevensbescherming) is een Europese verordening en vervangt de huidige Wet bescherming persoonsgegevens (Wbp). In het Engels heet de AVG de General Data Protection Regulation (GDPR). Strikter dan de Wbp bepaalt de AVG hoe organisaties met persoonsgegevens moeten omgaan. U geeft belanghebbenden, zoals klanten en leveranciers, meer inzicht in de manier van verwerking. Dus: waar staan de gegevens, wat wordt ermee gedaan en door wie? Werkt u al conform de richtlijnen van de Wbp dan is het handhaven van de AVG snel realiseerbaar. Zo niet, dan mogen de handjes nog even uit de mouwen.

Gegevensstromen in kaart
Zoals dat voor veel wet- en regelgevingen geldt: inlezen is van groot belang om de materie te begrijpen en de relevantie hiervan naar uw praktijk te vertalen. Daarna begint u met het in kaart brengen van uw gegevensstromen. Hoe komen persoonlijke data uw organisatie binnen (telefonisch, via een contactformulier of bijvoorbeeld via de website) en hoe verlaten ze uw organisatie. Denk aan naam, e-mailadres, foto maar ook aan meer specifieke data zoals vingerafdruk, BSN en IP-adres. En dit geldt niet alleen voor gegevens van klanten, maar ook van uw medewerkers. Op de website van de autoriteit persoonsgegevens vindt u over dit onderwerp een overzichtelijke PDF genaamd ‘AVG in een notendop’.

Wat is een verwerkersovereenkomst?

De verwerkersovereenkomst is een bekend fenomeen uit de Wbp. Deze wordt in deze huidige wet de bewerkersovereenkomst genoemd - om het lekker duidelijk te houden. Worden de door uw organisatie verzamelde gegevens verwerkt door een ander, dan dient deze partij te voldoen aan bepaalde eisen, die u vastlegt in de verwerkersovereenkomst. Denk aan een Cloud oplossing waar gegevens van uw cliënten worden opgeslagen, zoals bijvoorbeeld een externe salarisapplicatie. Online e-mail marketingprogramma’s zoals Mailchimp - waar de door u verzamelde e-mailadressen gebruikt worden voor het verzenden van nieuwsbrieven - vallen hier ook onder. Of wat denkt u van uw CRM-systeem? Wat de leverancier precies met deze persoonsgegevens mag doen, legt u vast in een verwerkersovereenkomst.

Verwerker of verwerkingsverantwoordelijke?

Als u een verwerkersovereenkomst opstelt is het van belang te bepalen of u de verwerkingsverantwoordelijke of verwerker bent volgens de AVG. De verwerkersverantwoordelijke bepaalt het doel en de verwerking van de gegevens. Deze verantwoordelijke omschrijft waarom de persoonlijke gegevens verzameld worden en hoe dat gebeurt. Bijvoorbeeld:
  • U verzamelt data voor de salarisadministratie en dat doet u met een extern salarisadministratiepakket.
  • U vergaart e-mailadressen voor de maandelijkse e-mail nieuwsbrief. Hiervoor gebruikt u de e-mailapplicatie Mailchimp.

De verwerkers in deze zijn: de leverancier van de salarisapplicatie en Mailchimp. Het is vanaf 25 mei 2018 uw verantwoordelijkheid om vast te leggen dat deze verwerkers naast de opdracht niets mogen doen met de persoonsgegevens.

Hoe ziet een verwerkersovereenkomst eruit?

In de verwerkersovereenkomst legt u vast welke gegevens specifiek worden opgeslagen en wat er mee gedaan wordt: van verzamelen tot en met vernietigen. Maar bovenal wordt hierin vastgelegd hoe de data beveiligd worden. Het kan zijn dat u naar diverse leveranciers een verwerkersovereenkomst dient te sturen. Maar het kan ook zo zijn, dat u van partners, derden en klanten een verwerkersovereenkomst ontvangt. Het opstellen van uw eigen overeenkomst is één. Een template hiervoor stelt u eenmalig op. Maar het doorspitten van te ontvangen overeenkomsten - met ieder hun eigen bepalingen - is een kriem. Om die reden is het voor sommige organisaties een aanrader om dit voor te zijn en overeenkomsten niet alleen aan leveranciers, maar ook aan klanten uit te sturen.

Snel een geldige verwerkersovereenkomst opstellen

Het opstellen van een verwerkersovereenkomst is een verplichting bovenop uw al drukke agenda. Het is fijn als het opstellen en uitsturen van een verwerkersovereenkomst niet teveel tijd kost. Een online modellengenerator, voorzien van een ‘slimme’ verwerkersovereenkomst die voldoet aan de regels van de AVG, biedt uitkomst. Aan de hand van een aantal vragen zoals: heeft u ervaring met het opstellen van een verwerkersovereenkomst en bent u de verantwoordelijke of de verwerker, wordt de overeenkomst stap voor stap voor u gemaakt. Zo wordt een ‘moetje’ een ‘eitje’.