Veel van de persoonsgegevens die je verzamelt en verwerkt, deel je zonder dat je erbij stil staat met derden. Je facturen maak je op in een online boekhoudsysteem of krijgt je boekhouder onder ogen. Je nieuwsbrieven verstuur je via een mailprovider. Je slaat belangrijke bestanden op in Dropbox, analyseert gegevens in Google Analytics, zet gerichte advertenties uit via Facebook. Allemaal acties waarbij de persoonsgegevens in jouw bezit, verwerkt worden door derde partijen.
Verwerkersovereenkomsten opstellen
Met het van kracht gaan van de AVG moet je verwerkersovereenkomsten hebben met al die partijen. In de overeenkomst regel je onder meer waar een verwerker aan moet voldoen en wie waarvoor aansprakelijk en verantwoordelijk is.
Het is niet per se jouw taak als ondernemer om ze op te stellen. Als eindverantwoordelijke voor de verwerking van de persoonsgegevens is het wel belangrijk om ze te hebben. Wil je meer controle over de afspraken die je maakt, dan is het beter om zelf een overeenkomst op te stellen en aan te bieden aan de verwerker. Grotere partijen hebben de overeenkomsten waarschijnlijk al klaar staan en hoef je slechts aan te vragen.
Gegevens in de verwerkersovereenkomsten
In de verwerkersovereenkomsten leg je de afspraken over de volgende punten vast:
- Algemene beschrijving over onder andere het doel, de duur en de aard van de gegevensverwerking, welke soort persoonsgegevens van welke groepen betrokkenen worden verwerkt en wie welke verantwoordelijkheden heeft
- Instructies verwerking: de verwerking mag alleen plaatsvinden nadat jij schriftelijke instructies hebt gegevens. De persoonsgegevens mogen niet voor iets anders worden gebruikt
- Geheimhoudingsplicht, mensen die werken voor de verwerker hebben een geheimhoudingsplicht
- Technische en organisatorische beveiligingsmaatregelen: de verwerker treft goede technische en organisatorische maatregelen om de persoonsgegevens veilig te kunnen verwerken
- Subwerkers: de verwerker mag niet zonder jouw schriftelijke toestemming de persoonsgegevens door een ander laten verwerken
- Verplichting privacyrechten: de verwerker geeft in de overeenkomst aan je te helpen als betrokken hun privacyrechten willen uitoefenen. Het gaat hierbij om recht op inzage, correctie, vergetelheid en dataportabiliteit
- Verplichtingen datalekken: de verwerker helpt je bij verplichtingen als het melden van datalekken en het uitvoeren van een eventuele data protection impact assessment (DPIA)
- Gegevens verwijderen: na afloop van de verwerkingsoverenkomst, verwijdert de verwerker alle gegevens en eventuele kopieën of stuurt ze aan je terug, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren
- Audits: de verwerker werkt mee aan audits van jouzelf of derde partijen om te controleren of hij zich als verwerker aan de verplichtingen uit de overeenkomst houdt
Het is belangrijk dat de verwerkersovereenkomsten aan deze punten voldoen. Breng in kaart welke derde partijen persoonsgegevens voor je verwerken en check of je een overeenkomst met hen hebt gesloten. Controleer of de overeenkomst voldoet aan de AVG en pas, waar nodig, de overeenkomst aan of sluit nieuwe verwerkingsovereenkomsten.