MENU

Stappenplan AVG. Stap 9. Controleer uw bewerkersovereenkomsten en verwerkersovereenkomsten
22-02-2018

De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.

Stappenplan AVG ter voorbereiding op de nieuwe privacywet

Om u bij de voorbereiding te helpen, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. De vorige keer behandelden we stap 8: stel de wijze vast waarop informatie wordt verschaft aan de betrokkene. Nu stap 9. Controleer uw bewerkersovereenkomsten en verwerkersovereenkomsten.

Met de komst van de AVG wijzigen de definities:

  • ‘bewerker’ in ‘verwerker’ en
  • ‘bewerkersovereenkomst’ in ‘verwerkersovereenkomst’.

Een verwerker is een derde die ten behoeve van uw organisatie persoonsgegevens verwerkt. Hierbij kunt u denken aan het bedrijf dat uw salarisadministratie verzorgt. U bent verplicht om met de verwerker een overeenkomst aan te gaan. 

In deze overeenkomst dient u in ieder geval de volgende informatie op te nemen:

  • Algemene beschrijving

    De verwerkersovereenkomst bevat een algemene beschrijving van onder meer de volgende punten:
    a. de inhoud,
    b. de duur,
    c. de aard en het doel van de verwerking,
    d. het soort persoonsgegevens,
    e. de categorieën van betrokkenen, en
    f. de rechten en verplichtingen van de verwerkingsverantwoordelijke.

  • Instructies verwerking

    De verwerking van persoonsgegevens door de verwerker mag slechts plaatsvinden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.
  • Geheimhoudingsplicht

    Aan de verwerker moet een geheimhoudingsplicht worden opgelegd.

  • Beveiliging

    De verwerker moet passende technische en organisatorische maatregelen treffen om de verwerking te beveiligen. Voorbeelden hiervan zijn:
    a. pseudonimisering en versleuteling van persoonsgegevens,
    b. permanente informatiebeveiliging,
    c. herstel van beschikbaarheid,
    d. toegang tot gegevens bij incidenten, en
    e. regelmatige beveiligingstesten.

  • Subverwerkers

    De verwerker mag geen subverwerker(s) inschakelen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker legt in een verwerkersovereenkomst dezelfde verplichtingen op aan de subverwerker, als de verplichtingen die de verwerker heeft richting de verwerkingsverantwoordelijke.
  • Verplichtingen privacyrechten

    De verwerker zal de verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van diens plicht, als betrokkenen hun privacyrechten willen uitoefenen. Het gaat om privacyrechten zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit.

  • Nakomen verplichtingen verwerkingsverantwoordelijke

    De verwerker verleent de verwerkingsverantwoordelijke bijstand bij het uitoefenen van diens verplichtingen, zoals het melden van datalekken, het uitvoeren van een data protection impact assessment en bij een voorafgaande raadpleging.

  • Gegevens verwijderen

    Eindigt de verwerkingsovereenkomst, dan dient de verwerker alle gegevens te verwijderen of aan de verwerkingsverantwoordelijke terug te bezorgen, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

  • Audits

    De verwerker dient de verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om te controleren of hij zich als verwerker aan de hierboven genoemde verplichtingen houdt. Daarnaast dient de verwerker mee te werken aan audits.

Het is belangrijk dat uw overeenkomsten aan bovenstaande punten voldoen. Breng daarom in kaart welke organisatie voor u persoonsgegevens verwerken en of u met deze organisatie(s) een overeenkomst heeft gesloten. Controleer vervolgens of de overeenkomst voldoet aan de AVG en pas waar nodig de overeenkomst aan of sluit nieuwe verwerkingsovereenkomsten.

Download het complete stappenplan AVG of bekijk de webinars

Na deze stap volgt nog één stap die in het volgende artikel wordt behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.

Liever het webinar bekijken? Dat kan ook. 

Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.

Eerder verschenen stappen in het stappenplan AVG

________________________________

Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG

Oorspronkelijke auteur: Steffie Schepers (niet langer werkzaam bij RWV Advocaten)

© 2021 RWV