Verwerkersovereenkomst
Verwerken mensen buiten je eigen organisatie persoonsgegevens van de leden/donateurs? Bijvoorbeeld voor de ledenadministratie of verzending van het ledenblad? Dan is er een verwerkersovereenkomst nodig. We zetten de veelgestelde vragen op een rij.
Een verwerker is een partij die in opdracht van een organisatie (de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Dat is bijvoorbeeld de dienstverlener die de ledenadministratie doet. Of de leverancier van online ruimte waar je organisatie persoonsgegevens opslaat (clouddienst).
Met een verwerkersovereenkomst sluit je uit dat de verwerker de persoonsgegevens voor eigen doelen verwerkt. En leg je alle andere afspraken vast, zoals over beveiliging.
Een verwerkersovereenkomst sluit je af met alle partijen die persoonsgegevens waarvoor jouw organisatie verantwoordelijk is, opslaan, bewaren of bewerken. Bijvoorbeeld met de beheerder van de website, de ledenadministrateur of drukker. Persoonsgegevens zijn bijvoorbeeld naam, (e-mail)adres, telefoonnummers, IP-adres en foto’s.
Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Want als je de gegevensverwerking door een verwerker laat uitvoeren, dan blijf je nog steeds verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG).
Als verwerkingsverantwoordelijke patiëntenorganisatie kun je rechtstreeks met de eerste verwerker afspreken onder welke voorwaarden deze subverwerkers mag inschakelen.
De verwerker schakelt geen subverwerker(s) in zonder jouw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting jou heeft.
Als de subverwerker zijn verplichtingen niet nakomt, blijft de verwerker volledig aansprakelijk richting de verwerkersverantwoordelijke voor het nakomen van de verplichtingen (zie artikel 28, lid 4 van de AVG).
Nee, die is niet altijd nodig. Wanneer je met een andere partij samenwerkt voor bijvoorbeeld een bijeenkomst, het leveren van een dienst of product, en die partij bepaalt samen met jouw organisatie het doel en de middelen voor de verwerking, dan is er een gezamenlijke verantwoordelijkheid. Een verwerkersovereenkomst is dan niet nodig.
In ons AVG-stappenplan vind je een modelovereenkomst (Word-bestand). Dienstverleners hanteren vaak een eigen verwerkersovereenkomst, omdat zij voor veel organisaties persoonsgegevens verwerken. Krijg je ook zo’n overeenkomst? Let er dan op dat alle onderdelen van onze modelovereenkomst erin staan.
Bijvoorbeeld welke soorten persoonsgegevens en van welke categorieën betrokkenen. De doeleinden mogen vrij algemeen omschreven staan, bijvoorbeeld cloudopslag of uitvoeren ledenadministratie.
Nee, medewerkers vallen onder art. 29 AVG, verwerken onder gezag, en hoeven daarom geen overeenkomst te tekenen.
Vrijwilligers staan niet onder gezag zoals medewerkers. Als vrijwilligers persoonsgegevens verwerken, is een aanvulling op de vrijwilligersovereenkomst (Word-bestand) voldoende, zie bijlage 7 van ons stappenplan AVG.
Ja, ook de verwerker moet een register bijhouden van alle verwerkingsactiviteiten die hij voor een verwerkingsverantwoordelijke verricht, als het om meer dan 250 persoonsgegevens gaat. Zie hiervoor het template voor een register van dataverwerking (Excel-bestand) uit ons stappenplan AVG.
Bekijk ook
AVG in de praktijk
Checklist die je organisatie helpt om aan de privacywetgeving te voldoen
AVG: veelgestelde vragen
Vragen en antwoorden over verwerken van persoonsgegevens van je leden/donateurs