Verwerkersovereenkomst
Een door de AVG vereist contract over hoe een verwerker persoonsgegevens verwerkt voor een verwerkingsverantwoordelijke.
Definitie
Een verwerkersovereenkomst is het contract dat de AVG vereist wanneer een verwerker persoonsgegevens verwerkt namens een verwerkingsverantwoordelijke. Daarin moeten het onderwerp, de duur, de aard en het doel van de verwerking, de soorten gegevens en betrokkenen, en de verplichtingen van de verwerker inzake beveiliging, subverwerkers en bijstand worden vastgelegd. Artikel 28 AVG somt de verplichte inhoud op, en in Nederland gelden de AVG en de Uitvoeringswet AVG.
Voorbeeld
Een bedrijf dat een cloudsalarisverwerker gebruikt, sluit een verwerkersovereenkomst met beveiligingsmaatregelen, meldtermijnen bij datalekken en beperkingen op subverwerkers.
Waarom dit een bedrijfsrisico is
Werken zonder een verwerkersovereenkomst wanneer die vereist is, is op zichzelf een AVG-overtreding, ongeacht of er een datalek is. Toezichthouders hebben verwerkingsverantwoordelijken beboet voor het niet hebben van adequate verwerkersovereenkomsten. Naast compliance kan een zwakke verwerkersovereenkomst u zonder contractueel verhaal laten als uw verwerker een datalek veroorzaakt of de aan hen toevertrouwde gegevens misbruikt.
Hoe u dit beheert
- Identificeer elke leverancier die namens u persoonsgegevens verwerkt en zorg dat een verwerkersovereenkomst is gesloten voordat de verwerking begint.
- Controleer dat de verwerkersovereenkomst alle goedgekeurde subverwerkers vermeldt en de verwerker verplicht u te informeren voordat nieuwe worden toegevoegd.
- Neem in de verwerkersovereenkomst meldtermijnen bij datalekken op die korter zijn dan uw wettelijke deadline van 72 uur, zodat u tijd hebt om te handelen.
- Herzie verwerkersovereenkomsten periodiek: subverwerkers van verwerkers wijzigen, beveiligingsstandaarden evolueren, en verwerkersovereenkomsten die bij ondertekening compliant waren, kunnen inadequaat worden.
Juridische bronnen
Tenzij anders aangegeven verwijzen de bronnen naar Nederlands recht (Burgerlijk Wetboek); EU-regelgeving zoals de AVG geldt in de hele EU. Dit is algemene informatie, geen juridisch advies. Andere rechtsstelsels behandelen deze begrippen anders. Controleer de actuele tekst en uw situatie met een gekwalificeerde jurist.
Veelgestelde vragen
Veelgestelde vragen over dit begrip.