Verwerkersovereenkomst

Afhankelijk van welke rol een partij inneemt, volgen er rechten en plichten uit de AVG. Zo kunnen betrokkenen gebruik maken van hun individuele rechten en moeten gezamenlijk verantwoordelijken een schriftelijke regeling opstellen. Ook voor de verwerkingsverantwoordelijke en de verwerker gelden specifieke plichten. Volgens de AVG moeten de verwerkingsverantwoordelijke en verwerker een overeenkomst sluiten waarin enkele kernpunten over de verwerking bindend worden vastgelegd.

Als de eerste stap moet u vaststellen of de werkgever verwerkingsverantwoordelijke is. Dat is het geval als – kort gezegd –  de werkgever het doel en de middelen van de verwerking vaststelt. De tweede stap is te bepalen of er verwerkers zijn en zo ja, wie dat zijn. Een andere partij is een verwerker als hij ten behoeve van de werkgever persoonsgegevens verwerkt. Let op dat het enkele feit dat een andere partij persoonsgegevens verwerkt, nog niet betekent dat dit een verwerker is. Denk aan de werkgever die aan de luchtvaartmaatschappij persoonsgegevens van werknemers verwerkt om tickets te bestellen. De luchtvaartmaatschappij is geen verwerker maar een derde in de zin van de AVG, ook al worden er wel persoonsgegevens verwerkt.

Enkele voorbeelden van veel voorkomende verwerkers zijn de externe salarisadministrateur, de partij die in opdracht van de werkgever periodiek back-ups maakt van data waaronder persoonsgegevens en het hostingsbedrijf waar serverruimte wordt gehuurd voor opslag van data.

In de AVG staan welke zaken verplicht geregeld dienen te worden in een verwerkersovereenkomst. Het gaat om de volgende punten:

  • onderwerp en duur van de verwerking;
  • de aard en het doel van de verwerking;
  • soort persoonsgegevens en categorieën van betrokkenen;
  • rechten en verplichtingen verwerkingsverantwoordelijke;
  • instructievereiste;
  • waarborgen vertrouwelijkheid;
  • genomen beveiligingsmaatregelen;
  • inzet andere verwerkers;
  • bijstandverlening bij vervulling verzoeken betrokkenen;
  • bijstandverlening bij voldoen aan beveiligingseisen, meldplicht datalekken en gegevensbeschermingseffectbeoordeling;
  • omgaan persoonsgegevens bij einde overeenkomst;
  • mogelijk maken van audits.

Naast de verplichte bepalingen uit de AVG maakt de contractsvrijheid dat partijen allerlei aanvullende afspraken in de overeenkomst kunnen maken. Denk aan afspraken over aansprakelijkheid, schade, het opleggen van een boete, informatieverplichtingen over en weer etcetera. Het is afhankelijk van de wens van partijen wat zij aanvullend schriftelijk willen regelen.

Deze verwerkersovereenkomst gaat uit van de situatie waarin de werkgever verwerkingsverantwoordelijke is en biedt de werkgever zoveel mogelijk waarborgen. Het model is aldus relatief streng voor de verwerker.

Onbeperkte toegang?

XpertHR Checkit is speciaal ontwikkeld om leidinggevenden binnen alle sectoren te ondersteunen bij HR- en managementvraagstukken. Door middel van praktische tools, checklists, video’s en voorbeeldbrieven, vindt een leidinggevende snel een betrouwbaar antwoord op al zijn vragen.

XpertHR Checkit ondersteunt tevens de HR-manager binnen de organisatie. De HR-manager kan vol vertrouwen zaken uit handen geven, maar houdt grip door te monitoren en eigen beleid toe te voegen aan XpertHR Checkit.

Inloggen