Vorig jaar heeft de Autoriteit Persoonsgegevens onderzoek gedaan naar verwerkingsovereenkomsten in de private sector. Opvallend is dat de verschillen enorm zijn. Dé verwerkersovereenkomst bestaat niet. Ook zijn er diverse onvolkomenheden ontdekt in de onderzochte documenten. Een overzicht van de ontdekkingen en adviezen ter verbetering.

De Autoriteit Persoonsgegevens (AP) heeft bij 31 organisaties in de private sector (handel, gezondheidszorg, media, vrije tijd en energie) onderzoek gedaan naar verwerkersovereenkomsten. Het doel was een beter beeld te krijgen van hoe organisaties deze overeenkomsten opstellen.

Wat blijkt?

De diversiteit is enorm. Verwerkersovereenkomsten zijn in de praktijk echte maatwerkdocumenten. Dit is ook prima mogelijk door de open normen in de AVG.

Maatwerk is vaak zelfs een vereiste. Niet iedere organisatie en zeker niet elke verwerking is immers hetzelfde. Verwerkingen door een callcenter zijn heel anders dan die van een hostingpartij.

Deze enorme diversiteit is op zich ook geen issue. Mits de inhoud van de documenten voldoet aan de AVG.

En daar gaat het nog weleens mis.

Een overzicht van de valkuilen én adviezen van de AP ter verbetering.

Niet voldoen aan de AVG-eisen

De AP heeft diverse verwerkersovereenkomsten ontvangen die nog niet volledig voldoen aan de eisen zoals gesteld in de AVG. Dit betrof kleine onjuistheden, maar ook het ontbreken van specifieke verplichtingen uit art. 28 lid 3 AVG.

Daarnaast zijn er nog steeds bewerkersovereenkomsten in omloop. Deze voorlopers van de verwerkersovereenkomst vielen onder de Wet bescherming persoonsgegevens, die inmiddels niet meer van kracht is. De eisen in de AVG zijn aangescherpt, waardoor de bewerkersovereenkomst nu niet meer voldoet.

Verwerkersovereenkomst

Mocht u nog werken met een bewerkersovereenkomst, dan is het noodzakelijk om deze aan te passen aan de aangescherpte eisen van de AVG.

De AP adviseert organisaties een overzicht te maken van de eisen in art. 28 lid 3 AVG en dit naast alle reeds bestaande verwerkersovereenkomsten te leggen. Op die manier kunt u eventuele onjuistheden ontdekken en aanpassen.

Om u op weg te helpen, kunt u ook gebruikmaken van onze checklist verwerkersovereenkomst. Hierin vindt u een overzicht van de minimumvereisten voor een verwerkersovereenkomst.

Wel of geen verwerkersovereenkomst?

De AP kreeg ook de indruk dat sommige partijen alsnog een verwerkersovereenkomst opstelden naar aanleiding van dit onderzoek.

Blijkbaar is het soms nog lastig om de juiste afweging te maken. Wanneer is een verwerkersovereenkomst noodzakelijk?

Het antwoord is: zodra de verwerking van persoonsgegevens wordt uitbesteed aan een andere partij. Bijvoorbeeld wanneer u uw salarisadministratie of online marketing door een andere partij laat doen, maar ook als er persoonsgegevens in een cloudoplossing staan.

De Autoriteit Persoonsgegevens adviseert u om op basis van uw verwerkingsregister:

  • inzichtelijk te maken welke organisaties u inschakelt;

  • welke verwerkingen zij doen;

  • wat de risico’s van deze verwerkingen zijn; en

  • of er een verwerkersovereenkomst geldt of vereist is.

Maak het concreet

Niet alle onderzochte verwerkersovereenkomsten bleken even concreet. Zo kwam de AP verwerkersovereenkomsten tegen met artikelen die letterlijk waren overgenomen uit de AVG.

Onvoldoende.

Het is essentieel dat u omschrijft welke persoonsgegevens er worden verwerkt, voor welke doeleinden en hoe bijvoorbeeld het beveiligingsbeleid en maatregelen in elkaar zitten. Alleen vermelden dat er een beveiligingsbeleid of certificaat is, is dan niet genoeg.

De open normen van de AVG dient u dus (samen met de verwerker of verwerkingsverantwoordelijke) voor uw specifieke situatie in te vullen. Denk aan bewaartermijnen, beveiligingsmaatregelen en het type verwerkingen. De AP adviseert om zo concreet mogelijk te zijn bij de invulling van deze normen.

Pak het systematisch aan

verwerkersovereenkomst AVG

Hoe meer de verwerkersovereenkomsten zijn ingebed in uw processen hoe beter, aldus de Autoriteit Persoonsgegevens.

Ze adviseert om het opstellen, beoordelen en aanpassen van de verwerkersovereenkomst te verankeren in het inkoopproces en de bestaande processen van contractmanagement.

De verwerkersovereenkomst is geen statisch document en moet geregeld worden herzien. Lees hierover ook onze blog over het jaarlijks checken van uw verwerkersovereenkomsten.

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen op het gebied van privacy en ICT Recht? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.