Verwerkersovereenkomst onder de Europese privacywetgeving (AVG/GDPR)

Als uw organisatie persoonsgegevens extern laat verwerken heeft u een verwerkersovereenkomst nodig. Denkt u daarbij aan o.a. een datacenter waar u uw klantgegevens opslaat, een salarisverwerker of de externe tools die uw klantenservice gebruikt. 

In de privacywetgeving, zowel in de huidige Wbp als in de toekomstige Algemene Verordening Gegevensbescherming (AVG/GDPR), kent men twee belangrijke rollen, namelijk die van verantwoordelijke, u, en die van verwerker, de externe dienstverlener. Tussen deze twee partijen bestaat natuurlijk een zakelijke overeenkomst en daarin, of in een apart document, zult u ook moeten regelen welke acties de verwerker neemt in het geval van een datalek. Denk daar niet te licht over, u bent immers verantwoordelijke voor de wet en u bent degene die een afweging maakt of het datalek gemeld moet worden of niet. Zorg er dus altijd voor dat de verwerker voldoende maatregelen neemt om te waarborgen dat datalekken bij die verwerker daadwerkelijk en op tijd bij u gemeld worden.

Toezicht op de verwerker

U zult er daarnaast ook op moeten toezien, of laten toezien door een geautoriseerde instantie, dat de verwerker adequate technische en organisatorische maatregelen neemt om uw gegevens te beveiligen. Dit zijn maar een paar aspecten uit een hele checklist van zaken die u moet regelen en vastleggen met elkaar in een verwerkersovereenkomst. Verwerkers zullen u vaak al een overeenkomst aanbieden en mijn advies is dat u die zorgvuldig laat controleren door een deskundige. Het is immers wel zo handig om verantwoordelijkheden dáár te leggen waar ze thuis horen. PrivacyCollectief informeert u graag in deze kwesties.