In het tijdperk van digitale transformatie en gegevensgedreven besluitvorming staan de verwerken en de verwerkingsverantwoordelijke centraal in het waarborgen van de privacy en veiligheid van persoonsgegevens. Een belangrijke rol in het voldoen aan privacywetten dus. De verwerkersovereenkomst regelt de samenwerking tussen de verwerkingsverantwoordelijken en externe partijen. Deze overeenkomst, op maat gemaakt voor de specifieke behoeften van elke organisatie, is ontworpen om de veiligheid van persoonsgegevens te waarborgen en duidelijke richtlijnen te bieden.
Verantwoordingsplicht
De AVG legt een sterke nadruk op de verantwoordingsplicht, waarbij organisaties moeten kunnen aantonen dat ze aan de AVG-regels voldoen. Dit houdt in:
- Het bijhouden van een verwerkingsregister: Dit register bevat informatie over de verwerkte persoonsgegevens en de doeleinden waarvoor deze worden gebruikt.
- Uitvoeren van een Data Protection Impact Assessment (DPIA): Vooral bij verwerkingen met een hoog privacyrisico is dit essentieel.
- Bijhouden van een datalekregister: Hierin worden alle datalekken geregistreerd, ook die niet gemeld hoeven te worden aan de Autoriteit Persoonsgegevens.
- Aantonen van toestemming: Wanneer toestemming nodig is voor verwerking, moet duidelijk zijn dat deze daadwerkelijk is gegeven.
- Opstellen van een privacyverklaring: Elke organisatie moet heldere informatie geven over de verwerkte persoonsgegevens en de doeleinden ervan.
Plichten van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke draagt de uiteindelijke verantwoordelijkheid voor de verwerking van persoonsgegevens. Hun verantwoordelijkheden zijn:
- Het selecteren van een betrouwbare verwerker.
- Het aangaan van een verwerkersovereenkomst die de verwerkingsopdracht duidelijk specificeert.
- Het waarborgen van de rechten van betrokkenen, ook bij uitbestede verwerkingen.
- Het melden van relevante datalekken.
Plichten van de verwerker
De verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke en moet:
- Strikt de instructies van de verwerkingsverantwoordelijke volgen.
- Zorgen voor passende beveiliging van de persoonsgegevens.
- De verwerkingsverantwoordelijke informeren over datalekken.
- Een verwerkingsregister bijhouden.
De tips waar organisaties rekening mee kunnen houden:
1. Ken je rol
- Begrijp of jouw organisatie optreedt als verwerkingsverantwoordelijke of verwerker. Deze rollen bepalen je verplichtingen onder de AVG.
- Zorg dat alle betrokkenen binnen de organisatie hun verantwoordelijkheden begrijpen en naleven.
2. Stel een privacybeleid en verwerkersovereenkomsten op
- Ontwikkel een duidelijk privacybeleid dat de verwerking van persoonsgegevens binnen je organisatie beschrijft.
- Zorg voor gedegen verwerkersovereenkomsten met alle verwerkers die je inschakelt.
3. Houd een gedetailleerd verwerkingsregister bij
- Documenteer alle verwerkingsactiviteiten, inclusief de doeleinden, de verwerkte gegevens en de bewaartermijnen.
- Update dit register regelmatig om wijzigingen in verwerkingsactiviteiten weer te geven.
4. Implementeer Data Protection Impact Assessments (DPIA’s)
- Voer DPIA’s uit voor verwerkingen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen.
- Gebruik de uitkomsten van DPIA’s om je privacypraktijken te verbeteren.
5. Zorg voor sterke beveiligingsmaatregelen
- Implementeer technische en organisatorische maatregelen om persoonsgegevens te beschermen.
- Overweeg maatregelen zoals versleuteling, toegangscontrole, en regelmatige beveiligingstests.
6. Train je personeel
- Zorg ervoor dat alle medewerkers getraind zijn in het omgaan met persoonsgegevens en op de hoogte zijn van de AVG.
- Regelmatige training en updates zijn essentieel om bewustzijn en naleving te waarborgen.
7. Bereid je voor op datalekken
- Ontwikkel en oefen een plan voor het omgaan met datalekken, inclusief hoe deze te detecteren, te melden en erop te reageren.
- Zorg dat je weet wanneer en hoe je datalekken moet melden bij de toezichthoudende autoriteit en betrokkenen.
8. Privacy by Design en Default
- Integreer privacy overwegingen in de vroege ontwerpfase van producten, diensten en systemen.
- Zorg ervoor dat de standaardinstellingen van systemen en diensten zo privacyvriendelijk mogelijk zijn.
9. Respecteer de rechten van betrokkenen
- Wees voorbereid om verzoeken van betrokkenen om hun rechten uit te oefenen (zoals toegang, correctie, verwijdering) te verwerken.
- Zorg voor duidelijke procedures voor het beantwoorden van dergelijke verzoeken
10. Blijf op de hoogte van wijzigingen en jurisprudentie
- Houd de ontwikkelingen in wetgeving en jurisprudentie rond de AVG in de gaten.
- Pas je praktijken aan wanneer er veranderingen in de wetgeving of interpretaties daarvan zijn.
De AVG legt dus een gedetailleerde verantwoordingsplicht op aan zowel de verwerkingsverantwoordelijke als de verwerker. Dit betekent dat zij niet alleen verantwoordelijk zijn voor het naleven van de AVG-regels, maar ook moeten kunnen aantonen dat ze deze naleven. Dit vereist een proactieve aanpak van gegevensbescherming, waaronder het bijhouden van uitgebreide registers, het opstellen van duidelijke verwerkersovereenkomsten, en het implementeren van maatregelen die privacy vanaf de basis waarborgen.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
Meest gestelde vragen
Een verwerkersovereenkomst is een contract tussen een verwerkingsverantwoordelijke en een verwerker. In de overeenkomst staan de voorwaarden voor het verwerken van persoonsgegevens.
Er zijn duidelijke richtlijnen waaraan een verwerkersovereenkomst moet voldoen. Er moet oa informatie in staan over de verwerking van persoonsgegevens, de duur van de verwerking, de verplichtingen van de verwerker en beveiligingsmaatregelen.
Het opstellen van verwerkersovereenkomsten is niet vrijblijvend. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen als dit niet is gedaan. De hoogte van de boete kan hoog oplopen. Afhankelijk van de ernst van overtreding zijn boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet mogelijk.
Ja, als je als verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een externe partij, zoals een verwerker, is een Verwerkersovereenkomst vereist.
De verwerkingsverantwoordelijke is verantwoordelijk voor het opstellen van de Verwerkersovereenkomst, maar beide partijen kunnen samenwerken om deze op te stellen.
Let op dat alle wettelijke vereisten van de Algemene Verordening Gegevensbescherming (AVG) worden opgenomen, zoals de rechten en verplichtingen van beide partijen, beveiligingsmaatregelen en meldingsprocedures voor datalekken.
De verwerkingsverantwoordelijke is primair verantwoordelijk voor de Verwerkersovereenkomst, maar beide partijen moeten de overeenkomst naleven en samenwerken om aan de vereisten te voldoen.
De Verwerkersovereenkomst blijft van kracht zolang de verwerking van persoonsgegevens plaatsvindt en eindigt wanneer de verwerking stopt of wanneer de overeenkomst wordt beëindigd, afhankelijk van wat het eerst komt.