"Voor futureproof ondernemen in flex"
SLUIT MENU

Verwerkers en verwerkersovereenkomsten persoonsgegevens – AVG

Verwerkers en verwerkersovereenkomsten persoonsgegevens, volgens de AVG

Door Gerrit van Rooij
Functionaris Persoonsgegevens (FG) van HelloFlex group*

In toenemende mate werken bedrijven bij de verwerking van persoonsgegevens samen met leveranciers. Meer en meer diensten worden uitbesteed en vaker worden persoonsgegevens gedeeld. Denk maar aan de opslag van persoonsgegevens, het gebruik maken van online tools voor de personeels- of salarisadministratie of het gebruik van online software om samen te werken.

Ook lezen we steeds vaker dat bedrijven gehackt zijn en dat dit komt door een lek bij een leverancier. Een mooi voorbeeld hiervan zijn de tandartspraktijken die hun werk niet meer konden doen omdat hun leverancier gehackt was. Inmiddels is dit geen uitzondering meer. Geschat wordt dat naar schatting zo’n 80% van alle cyberaanvallen wereldwijd plaats vinden via de keten.

Daarom behandel ik vandaag enkele vragen over die derde partijen die namens u persoonsgegevens verwerken.

1. Wat is eigenlijk een verwerker?

 

In de praktijk zijn dat leveranciers of organisaties die ten behoeve van u persoonsgegevens verwerken. Deze bedrijven zijn hierbij gebonden aan de instructies die u geeft. Ze mogen deze persoonsgegevens niet voor eigen doeleinden gebruiken. U bepaalt als verwerkingsverantwoordelijk zelf het doel en middel van de verwerkingen.

In de praktijk is het niet altijd makkelijk om vast te stellen of een leverancier of organisatie een verwerker is. Een hulpmiddel is om te kijken of de verwerking van persoonsgegevens voor deze bedrijven een kernactiviteit is. Is het dat niet dan zijn het vaak geen verwerkers. Een opleidingsbureau heeft vaak namen van personeelsleden nodig, maar dat maakt van dit bureau nog geen verwerker. Zo zijn arbodiensten en accountants ook geen verwerkers. Een software leverancier die u cloudsolutions levert voor de HR-administratie wel.

Omdat het onderscheid in de praktijk niet altijd even helder is heeft de toezichthouder op haar website enkele voorbeelden opgenomen.

2. Wat zijn mijn verplichtingen?
Op grond van de AVG moet u in kaart brengen welke verwerkingen van persoonsgegevens u door verwerkers laat verrichten. Dit overzicht moet worden vastgelegd in het verwerkingsregister. Ook kan deze informatie worden gebruikt om de betrokkenen te laten weten aan wie hun persoonsgegevens wordt verstrekt. Dat gaat meestal via een privacyverklaring.

Verder zegt de AVG dat u alleen met verwerkers mag werken die ‘afdoende garanties’ bieden dat ze dat doen conform de eisen van de AVG.

Van belang is dus dat u helder hebt welke gegevens u deelt met de verwerker, welke AVG-risico’s hiermee gemoeid zijn en welke maatregelen hiervoor vereist zijn. Dit soort zaken neemt u op in een verwerkersovereenkomst.
U blijft verantwoordelijk voor de verwerking door de verwerker. Het is dus zaak altijd met een betrouwbare en deskundige partner zaken te doen. Elementen waar u naar kunt kijken zijn de betrouwbaarheid, de kennis en expertise met betrekking tot informatiebeveiliging, de aanwezigheid van een FG of een privacy officer, eerdere incidenten waar ze mee te maken hebben gehad, het aanwezig zijn van certificering(en), de reputatie, verwerkingen alleen in Europa enzovoort. Een stukje Vendor Risk Management dus.

3. Hoe ziet de verwerkersovereenkomst eruit?
De toezichthouder adviseert in haar richtlijnen een schriftelijke en ondertekende verwerkersovereenkomst, al of niet elektronisch. Vaak maakt het onderdeel uit van gebruikersvoorwaarden. Dat kan, maar de toezichthouder adviseert dit dan wel apart op te nemen, bijvoorbeeld in een Annex.

Vaak is het de (grotere) leverancier die komt met een voorstel van een verwerkersovereenkomst. Dat kan, maar besef wel dat u deze niet klakkeloos accepteert of ervan uit gaat dat deze wel akkoord is. Beide partijen blijven verantwoordelijk voor het sluiten van een juiste verwerkersovereenkomst.

Als partijen er niet uitkomen kunnen ze altijd gebruik maken van een door de Europese Commissie goedgekeurde standaardverwerkersovereenkomst. Het is overigens geen standaard overeenkomst in de zin dat u die zo over kan nemen. Het gaat er om dat u specifieke en concretere informatie opneemt over hoe aan de eisen te voldoen en welke beveiligingsmaatregelen er genomen moeten worden. Dit zijn zaken die normaal in de bijlagen worden vastgelegd.

4. Waar moet ik zoal op letten in de verwerkersovereenkomst?
Ik noem een paar belangrijke aandachtspunten.

  • Maak afspraken over de bewaartermijnen en/of teruggave van persoonsgegevens die de verwerker van u ontvangt. Het is niet voldoende om te regelen dat de verwerker de persoonsgegevens verwijdert na beëindiging van de overeenkomst. Deze kunnen weg als ze niet meer nodig zijn.
  • Voor de inzet van sub verwerkers is uw toestemming vereist. Een subverwerker is een partij die de verwerker inschakelt voor de verwerking. Denk hierbij aan een platform waarop de software van de verwerker draait. U kunt afspreken dat deze voor iedere (nieuwe) sub verwerker gevraagd wordt, of u geeft een algemene toestemming aan de verwerker met altijd een informatieplicht als er wijzigingen zijn. Vergeet niet: de sub verwerker verwerkt ook persoonsgegevens van u en zit dus in de keten. Daar bent u ook verantwoordelijk voor. Zorg dus dat u de sub verwerkers kent en vaststelt of deze betrouwbaar is.
  • Leg vast op welke wijze u geïnformeerd wordt over de naleving. Hoe gevoeliger en omvangrijker de verwerking des te belangrijker die verantwoording is. Voorbeelden van dergelijke afspraken zijn:
    – Rapportages van verwerker inzake naleving en aanpassingen van risico’s en maatregelen;
    – Certificaten rondom informatiebeveiliging of AVG (bijvoorbeeld ISO27001/277001) of gedragsregels (bijv. van NLDgital);
    – Onafhankelijke rapportages van derde auditeurs (SOC2/ISAE300).
  • Maak goede afspraken over het melden van datalekken die bij de verwerker voorkomen en welke informatie wanneer aan u verstrekt moet worden. Omdat u datalekken binnen 72 uur moet melden aan de AP is in de wet opgenomen dat de verwerker deze onverwijld bij u meldt.
  • Voor persoonsgegevens buiten de EU moeten dezelfde AVG-waarborgen gelden. Hiervoor heeft de Europese Commissie met een beperkt aantal landen verdragen gesloten (adequaatheidsbesluiten). Maar voor de meeste andere landen geldt dat hier aparte afspraken over gemaakt moeten worden, veelal op basis van de modelovereenkomsten internationale doorgifte. Daar ga ik nu verder niet op in. In ieder geval is het een stuk eenvoudiger, maar vooral veiliger om af te spreken dat persoonsgegevens niet buiten de EU worden verwerkt.

5. Hoe zit het met boetes?
Niet naleving van de AVG kan altijd leiden tot een maatregel of een boete van de toezichthouder, de Autoriteit Persoonsgegevens.
Mogelijke inbreuken op de AVG kunnen zijn:

  • Het ontbreken van een verwerkersovereenkomst.
  • Het ontbreken van bepaalde afspraken zoals ‘afdoende garanties’.
  • Onvoldoende beveiligingsmaatregelen.
  • Het niet of te laat melden bij de AP van een datalek bij de verwerker.
  • Het gebruiken van een verouderde verwerkersovereenkomst (bijvoorbeeld van voor de AVG).

6. Wat moet u vooral onthouden van dit artikel?

  • U bent verantwoordelijk voor de verwerking van persoonsgegevens door verwerkers.
  • U moet zaken doen met betrouwbare en deskundige partijen.
  • U moet goede afspraken maken over risico’s en maatregelen en deze controleren. Alleen zo kunt u datalekken en ketenaanvallen tegen gaan.

Meer lezen:
EDPD Europa, guidelines controller processor
AP over verantwoordelijke en verwerker

*Maandelijks schrijven Gerrit van Rooij van HelloFlex Group en/of Inge Brattinga van VRF Advocaten columns voor FlexNieuws over allerlei praktische zaken met betrekking tot bescherming van persoonsgegevens.

Lees ook:
Inge AVG en ziekteverzuim
Zin en onzin van het melden van datalekken
Verwerking persoonsgegevens en inzageverzoek AVG
Over AVG, informatie aan betrokkenen en privacy statements
AVG: AI, algoritmes en automatische besluitvorming bij recruitment
AVG en gezondheidsgegevens
AVG en gebruik van social media bij recruitment

Gerrit van Rooij is privacy adviseur bij Stichting AVG Garant.