De AVG vereist dat je een Verwerkersovereenkomst met elkaar opstelt wanneer je persoonsgegevens door derden laat verwerken. Maar hoe ingewikkeld moet je zoiets maken? Tip: hou het vooral praktisch en probeer niet de complete AVG opnieuw in je Verwerkersovereenkomst te beschrijven; die staat immers al op papier.

Veel organisaties hebben de invoering van de AVG als een enorme verandering ervaren. Onder andere omdat er nu telkens een Verwerkersovereenkomst moet worden opgesteld, wanneer je persoonsgegevens door een andere partij laat verwerken. Toch weten niet veel organisaties dat dat onder de WbP ook al een verplichting was.

Vóór 2018 zagen we dat er nauwelijks Verwerkersovereenkomsten werden opgesteld. Sinds de invoering van de AVG is dat inmiddels wel anders geworden. De voornaamste reden: de toezichthouder in Nederland op deze wet, de Autoriteit Persoonsgegevens, heeft sinds 2018 een sanctiemechanisme in handen gekregen waarbij organisaties die de privacywet onvoldoende nakomen een boete kunnen krijgen. En toen stond privacy ineens bovenaan de agenda van elke organisatie.

Als er al een wet is die gedetailleerd beschrijft hoe de privacy moet worden beschermd, waarom is een Verwerkersovereenkomst dan nog nodig? Het antwoord daarop is “invulling” van de verwerking, zoals bepaald in artikel 28, lid 3 van de AVG.

In tegenstelling tot veel andere gegevens doorlopen persoonsgegevens een zogenaamde levenscyclus gedurende de dienstverlening: gegevens worden aangeleverd, ze worden verwerkt en tot slot worden ze teruggeleverd of vernietigd. Ter onderbouwing van deze cyclus is het nodig om afspraken te maken over “hoe” dit precies plaatsvindt. Dit wordt vastgelegd in de Verwerkersovereenkomst. Het volgende moet hierin in elk geval worden bepaald:

• tussen welke partijen worden de gegevens uitgewisseld en hoe is de rolverdeling; wie is de Verwerkingsverantwoordelijke en wie is de Verwerker.
• op welke (hoofd)overeenkomst heeft de overeenkomst betrekking; een Verwerkersovereenkomst heeft immers alleen betrekking op het verwerken van de persoonsgegevens terwijl dit vaak onderdeel uitmaakt van een groter geheel. In de hoofdovereenkomst worden daarbij nog veel meer zaken geregeld, zoals de te leveren dienst, looptijden, eventuele prestatieverplichtingen, beoogde doelstellingen, prijsafspraken, algemene voorwaarden, etcetera. Deze zaken hoeven dus niet in de Verwerkersovereenkomst te worden opgenomen.
• aard en doelbinding, kortom met welk doel worden de persoonsgegevens verwerkt. Vaak kan hier worden volstaan met een korte omschrijving, aangezien de totale dienstomschrijving in de hoofdovereenkomst te lezen valt.
• welke gegevens worden verwerkt; het soort gegevens dat wordt verwerkt bepaalt in grote mate de impact van een (potentieel) datalek en daarmee dus ook de te nemen beveiligingsmaatregelen. Door deze gegevens hier te beschrijven is voor de Privacy Officer / Functionaris Gegevensbescherming (FG) van de Verwerkingsverantwoordelijke duidelijk welk risico er gelopen wordt.
• wie zijn de betrokkenen, ofwel van wie worden er gegevens verwerkt. Betreft dit enkele personen, of zijn dit grote groepen mensen? Ook dat is bepalend voor de risico-inschatting en de mogelijke impact van een (potentieel) datelek.
• welke verwerkingen vinden er plaats. Een opsomming van de toegestane verwerkingen maakt o.a. duidelijk hoe het verwerkingsproces in elkaar steekt en welke verwerkingen er eventueel (deels) worden uitbesteed. Ook het bewaren van de gegevens voor toekomstige doeleinden zoals een herhalingsonderzoek waarbij de gegevens als benchmark worden ingezet is een vorm van verwerking en moet expliciet gemaakt worden door het specificeren van een bewaartermijn.
• welke subverwerkers mogen er door de Verwerkende partij worden ingezet. Hierbij gaat het vaak niet om de beoordeling of deze partij wel adequaat genoeg is, immers de Verwerkingsverantwoordelijke kent deze partij vaak niet en de Verwerker is verantwoordelijk en aansprakelijk voor de door hem ingezette subverwerkers. Maar als een deel van de verwerking aan de concurrent van de Verwerkingsverantwoordelijke wordt uitbesteed, dan zou dat wellicht toch tot een ongewenste situatie kunnen leiden. In dat geval wil je als Verwerkingsverantwoordelijke toch graag weten wie de onderaannemers van de Verwerker zijn.
• in welk geografisch gebied mogen de gegevens worden verwerkt; veelal wordt hier de restrictie om de gegevens binnen de Europees Economische Ruimte (kortweg EER) opgenomen omdat in deze landen ook de AVG van toepassing is. Op deze manier weet je dat je data niet zonder het te weten onder buitenlandse wetgeving komt te vallen.
• wat zijn de contactgegevens van de Privacy Officer/FG en wat is de te volgen procedure bij een (potentieel) datalek; op deze manier kan er snel worden geschakeld indien nodig.
• en tot slot: wat moet er na de verwerking met de gegevens gebeuren; vernietigen danwel terugleveren?

Ik kan me voorstellen dat dit alles klinkt als een enorme administratieve last met veel juridisch geneuzel. Zeker wanneer je de Verwerker kent als een betrouwbare partij. Toch is het risico op een boete bij controle door de Autoriteit Persoonsgegevens geen fijne gedachte.

Om het werk uit handen te nemen heeft SKB daarom een voorbeeld model-Verwerkersovereenkomst klaarstaan. Hierin hebben we de meeste zaken voor jou als Verwerkingsverantwoordelijke en SKB als Verwerker geregeld. Wel zo handig en vooral geruststellend.