AP geeft 5 aanbevelingen voor verwerkersovereenkomsten

Organisaties die – kort gezegd – persoonsgegevens verwerken en bij die verwerking van persoonsgegevens gebruik maken van derde partijen, zijn op grond van de wet verplicht een verwerkersovereenkomst te sluiten. Een volledig overzicht van de eisen die in een verwerkersovereenkomst moeten worden geadresseerd, is opgenomen in art. 28 van de Algemene verordening gegevensbescherming (AVG).

In het rapport worden de conclusies van het onderzoek weergegeven en aanbevelingen gedaan.  De AP geeft de volgende vijf algemene aanbevelingen voor organisaties:

1. Houd overzicht en wees volledig: Maak inzichtelijk welke organisaties u inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst vereist is.
2. Duid risico’s en stel zo nodig verwerkersovereenkomsten op: Maak duidelijk welke organisaties worden ingeschakeld en voor welke verwerking zij persoonsgegevens verwerken, welke rol zij daarin hebben, wat de risico’s zijn en welke verwerkersovereenkomsten daarbij reeds gelden of benodigd zijn. Indien blijkt dat voor een verwerker geen verwerkersovereenkomst is opgesteld waar dit wel vereist is, stel dan een verwerkersovereenkomst op.
3. Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen voor contractmanagement. Sluit aan op bestaande processen voor contractmanagement en ga periodiek na of de verwerkersovereenkomst nog voldoet aan de eisen.
4. Toets bestaande overeenkomsten aan de verscherpte eisen uit de AVG. Voor de AVG gold de Wet Bescherming Persoonsgegevens, op basis waarvan ook de verplichting bestond verwerkersovereenkomsten af te sluiten. Veel organisaties hebben de indruk dat er geen nieuwe eisen zijn gesteld aan deze overeenkomsten, maar in de AVG is een aantal elementen verder uitgewerkt. Het is daarom noodzakelijk om de overeenkomsten aan te passen aan de aangescherpte eisen uit de AVG.
5. Maak afspraken en maatregelen concreet. De AVG bevat doorgaans open normen die invulling behoeven aan de hand van de specifieke situatie waarin verwerkingsverantwoordelijken en verwerkers zich bevinden. Een verwerkersovereenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Het is daarom van belang om afspraken en maatregelen concreet te maken.

Er zijn zeer diverse verwerkersovereenkomsten in gebruik bij organisaties. Dit past, volgens de AP, bij het beeld dat de AVG door de open normen mogelijkheden biedt voor maatwerk. Uit het onderzoek van de AP blijkt dat de verwerkersovereenkomsten niet in alle gevallen voldoen aan de vereisten uit de AVG. Uit het rapport blijkt dat het kan gaan om kleine en eenvoudig aan te passen zaken tot het niet volledig opnemen van specifieke verplichtingen. Het blijft dus oppassen geblazen met het opstellen en afsluiten van verwerkersovereenkomsten. Bekijk kritisch aan welke eisen de gegevensverwerking moet voldoen en maak duidelijke maatwerkafspraken.

Heeft u nog geen verwerkersovereenkomst of wilt u laten checken of uw verwerkersovereenkomsten aan alle eisen van de wet voldoen? Neem dan contact op met Natascha van Duuren, advocaat/partner IT, Privacy & Cybersecurity

Met dank aan Daisy Brugman, student-stagiaire