Maak in 10 minuten jouw verwerkers­overeenkomst

Dit document kost € 39 of 19 credits.
Bespaar met een abonnement.

Waarom een verwerkersovereenkomst?

Je hebt een verwerkersovereenkomst nodig wanneer je persoonsgegevens bij een externe partij laat verwerken. Deze externe partij wordt ook wel de verwerker genoemd. Denk hierbij bijvoorbeeld aan een administratiekantoor dat de salarissen voor een bedrijf uitkeert, of de hosting provider die een website host. Wat betreft de inhoud van de verwerkersovereenkomst kun je onder meer denken aan afspraken over:
  • het doel van het verwerken;
  • aansprakelijkheid;
  • geheimhouding;
  • subverwerkers.

Is de verwerkersovereenkomst verplicht? 

Als je persoonsgegevens door een externe partij laat verwerken, is het verplicht om een verwerkersovereenkomst te sluiten op basis van de Algemene Verordening Gegevensbescherming (AVG). Als de verwerkersovereenkomst ontbreekt terwijl je wel persoonsgegevens laat verwerken door een derde, loop je het risico een boete te ontvangen. 

Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens over een persoon. Het begrip wordt erg ruim uitgelegd. Het gaat dus niet alleen maar om iemands naam, maar om elk gegeven op basis waarvan je iemand kunt identificeren. Een uniek nummer, een huisadres, een postcode, een IP-adres, het zijn allemaal persoonsgegevens. Ook alle gegevens die in een database gekoppeld zijn aan dergelijke identificerende gegevens, zijn door die koppeling persoonsgegevens. Ook gepseudonimiseerde gegevens, zoals gehashte of versleutelde gegevens, zijn persoonsgegevens.

Indirect identificerende gegevens
Wanneer je iemand op basis van bepaalde gegevens alleen indirect kunt identificeren, is er eveneens sprake van persoonsgegevens. Stel je bijvoorbeeld voor dat je een database hebt waarin alleen locatiegegevens staan. Dan kan het zo zijn dat die gegevens zo uniek zijn, dat er maar een heel klein groepje mensen bestaat van wie dat locatiepatroon zou kunnen zijn. Ook in een dergelijk geval is er sprake van persoonsgegevens.

Bedrijfsgegevens
Ook wanneer je (alleen) gegevens verwerkt over kleine bedrijven, kan er sprake van persoonsgegevens zijn. Dat bedrijf kan namelijk ook een BV met maar een werknemer of een eenmanszaak zijn.
Voorbeelden van persoonsgegevens
Accountnummer
Adres
Afbeeldingen
Bankgegevens
Bedrijfsnaam
Beroepsactiviteiten
Bestelgeschiedenis
Bestellingsnummer
Betalingsgegevens
Bewakingsfoto
Bewakingsvideo
Bezittingen
Biometrische gegevens
BSN-nummer
BTW-nummer
Dossiergegevens
E-mailadres
Elektronische identificatiegegevens
Factuuradres
Financiële gegevens
Gebruikers ID
Gebruikersnaam
Gedragsgegevens
Gewoonten
Gezondheidsgegevens
Hypotheken
IBAN
Interesse in een product
Klantnummer
Klikgedrag
KvK nummer
Leningen
Levensstijl
Leveringadres
Locatie
Medische gegevens
Naam
NAW-gegevens
Openstaande saldo
Post/factuuradres
Profielfoto
Reisgedrag
Schulden
Social media account
Sociale contacten
Solvabiliteit
Surfgedrag
Telefoonnummer
Uitgaven
User ID
Wachtwoord
 

Wat valt er onder het “verwerken” van persoonsgegevens? 

Het begrip “verwerken” wordt heel ruim uitgelegd en omvat alles wat je met persoonsgegevens zou kunnen doen. De AVG bepaalt wanneer je persoonsgegevens mag verwerken. Als de uitleg niet ruim zou zijn, zouden bepaalde handelingen buiten de reikwijdte van de AVG vallen. Dit is niet de bedoeling. Om een beter beeld te schetsen van het begrip verwerken, is hieronder een lijst met voorbeelden toegevoegd.
 
Voorbeelden van verwerken
Verzamelen
Vastleggen
Ordenen
Structureren
Opslaan
Bijwerken
Wijzigen
Opvragen
Raadplegen
Gebruiken
Verstrekken
Verspreiden
Ter beschikking stellen
Combineren
Afschermen
Wissen
Vernietigen
Anonimiseren
Pseudonimiseren
 

Ben ik de verwerkingsverantwoordelijke of de verwerker?

Wie is de verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Wat is een verwerker?
Een verwerker onder de GDPR/AVG is een natuurlijke persoon of een rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
 
Hoe weet je onder welke rol je valt?
Welke rol je hebt bepaalt ook je verantwoordelijkheden onder de AVG
 
Voorbeelden van verantwoordelijkheden van een verwerker
•   Welke IT-systemen of andere methodes worden gebruikt om persoonsgegevens te verzamelen
•   Hoe de persoonsgegevens opgeslagen worden
•   Veiligheidsmaatregelen
•   Hoe de persoonsgegevens worden overdragen tussen partijen
•   Hoe de persoonsgegevens worden overdragen omtrent een individu
•   De manier waarop de persoonsgegevens worden verwijderd

Voorbeelden van verantwoordelijkheden van een verwerkingsverantwoordelijke
•   Het verzamelen van persoonsgegevens en de grondslag hiervoor
•   Welk type persoonsgegevens worden verzameld
•   Reden waarom de gegevens worden verzameld
•   Over welke personen de gegevens worden verzameld
•   Of de gegevens worden vrijgegeven aan derde partijen
•   Of uitzonderingen van toepassing zijn met betrekking tot individuele rechten van personen
•   Bewaartermijn van de persoonsgegevens
•   Mogelijkheid om gegevens te wijzigen (updaten, verwijderen) 
 
Je kan ook beide zijn
In dit geval zal je waarschijnlijk verwerker en verantwoordelijke zijn over twee verschillende sets persoonsgegevens of twee verschillende sets van verwerkingen. Een hostingbedrijf (duidelijk een verwerker ten aanzien van de persoonsgegevens die zijn klanten op hun websites laten hosten) heeft ook een eigen klantenadministratie, waarin persoonsgegevens zijn opgenomen. Ten aanzien van die gegevens en de verwerking daarvan, is het hostingbedrijf de verantwoordelijke.
 

Wat is een subverwerker?

Een subverwerker is een partij die namens de verwerker persoonsgegevens verwerkt voor de verantwoordelijke. Dit is bijvoorbeeld het geval wanneer verwerkers andere partijen inschakelen voor de uitvoering van de verwerking.
 
Voorbeeld
Je gebruikt een hostingpartij om je website te hosten. Deze hostingpartij gebruikt vervolgens cloudleveranciers om de servers aan te kunnen bieden. Deze cloudleveranciers zijn de subverwerkers.

Wanneer mag je een subverwerker inschakelen?
Als verwerker mag je alleen subverwerkers inschakelen wanneer je daar toestemming voor hebt gekregen van de verantwoordelijke.

Als verantwoordelijke mag je bepalen of je verwerker(s) wel of niet subverwerkers mogen inschakelen. 
Deze toestemming neem je op in je verwerkersovereenkomst. 

Wat zijn bijzondere persoonsgegevens? 

Bijzondere persoonsgegevens zijn gegevens over iemands ras, politieke opvattingen, religieuze overtuiging, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens, gegevens over seksueel gedrag of seksuele geaardheid, of gegevens over iemands strafrechtelijke veroordelingen.
Uitleg
Bepaalde gegevens zijn zo gevoelig, dat ze extra goed beschermd moeten worden. Om die reden is in de AVG een bijzondere categorie van persoonsgegevens opgenomen. De eisen om deze bijzondere persoonsgegevens te mogen verwerken, zijn strenger dan de eisen om 'gewone' persoonsgegevens te verwerken. In verreweg de meeste gevallen heb je toestemming van de betrokkene nodig om deze persoonsgegevens te mogen verwerken.

Foto's
Wanneer je uit bepaalde informatie bovengenoemde gegevens kunt afleiden is er al sprake van de verwerking van bijzondere gegevens. Foto’s zijn strikt genomen bijzondere persoonsgegevens omdat ze bijvoorbeeld iemands ras zouden kunnen aantonen. Het ligt echter aan de manier waarop je de foto’s gebruikt of de Autoriteit Persoonsgegevens het gebruik als gebruik van een bijzonder persoonsgegevens zal zien. Foto’s gebruiken om onderscheid te maken naar ras mag in ieder geval niet.

Mag ik bijzondere gegevens verwerken?
Volgens de AVG mag je in beginsel bijzondere gegevens niet verwerken. Er zijn echter een beperkt aantal uitzonderingen geformuleerd. Deze zijn:
  1. Uitdrukkelijke toestemming 
  2. Bescherming van vitale belangen van de betrokkene
  3. Verwerkingen door instanties actief op politiek, levenbeschouwelijk, godsdienstig of vakbondsgebied
  4. Gegevens die kennelijk openbaar zijn gemaakt
  5. Instelling, uitoefening of onderbouwing van een rechtsvordering
  6. Volkenrechtelijke verplichting
  7. Verwerking door de AP
  8. Verwerking in aanvulling op de verwerking van persoonsgegevens van strafrechtelijk aard
  9. Wetenschappelijk onderzoek, historisch onderzoek en statistische doeleinden

Uitzonderingen
Biometrische gegevens mogen worden verwerkt als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. 
Gezondheidsgegevens mogen onder beperkte uitzonderingsgronden verwerkt worden.


Wat moet ik doen als mijn betalingsdienstverlener geen verwerkersovereenkomst wil tekenen?

Sommige betalingsdienstverleners doen erg moeilijk over het sluiten van een verwerkersovereenkomst. Anderen maken hier geen punt van en hebben zelfs hun eigen verwerkersovereenkomsten. Wij zijn ervan overtuigd dat een betaaldienstverlener onderaan de streep een verwerker is, omdat zij uiteindelijk niet bepalen wanneer en waarom er een betaling via hun platform plaatsvindt. Daar kunnen zij echter anders over denken. De enige optie die je dan nog hebt is met je voeten stemmen, door indien mogelijk naar een andere partij te gaan. 

Klaar om je verwerkers­overeenkomst te maken?

In een paar simpele stappen is je document gereed voor gebruik.