Risico: Verwerkersovereenkomst: hoe stelt u de juiste op?

verwerkersovereenkomst

Voor de overeenkomst met verwerkers zijn de AVG-regels aanzienlijk verscherpt ten opzichte van de huidige Wet bescherming persoonsgegevens (Wbp). Een werkgever heeft volgens de AVG de rol van hoofdverwerker van persoonsgegevens. Dat betekent dat u verantwoordelijk bent voor de bescherming van persoonsgegevens, ook als deze door andere partijen worden verwerkt.

Wat zijn verwerkers?

  • externe salarisadministratie
  • accountant
  • HR-systeem
  • re-integratiebedrijf
  • verzekeraar
  • externe opleiders
  • cloud services

Verwerkers en subverwerkers

Wanneer u het verwerken van persoonsgegevens aan een andere partij uitbesteedt, bent u wettelijk verplicht een verwerkersovereenkomst met deze verwerker op te stellen. Als deze partij vervolgens weer werk uitbesteedt aan andere bedrijven, ofwel subverwerkers, ontstaat er een keten van allerlei partijen die deze persoonsgegevens verwerken. Als werkgever bent u verantwoordelijk voor de wijze waarop er in deze keten wordt omgegaan met uw persoonsgegevens.

De verwerkersovereenkomst: wat staat erin?

In de verwerkersovereenkomst zijn alle afspraken omtrent de verwerking van persoonsgegevens vastgelegd. Hierin staat onder meer het volgende:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking: met welk doel worden ze bewaard, gewijzigd, gebruikt, verspreid of vernietigd?
  • De categorieën van betrokkenen (van wie de persoonsgegevens zijn).
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.
  • Hoe de beveiliging van gegevens werkt en op welke wijze controle hiervan plaatsvindt.

Voorkom boetes door onjuiste verwerkersovereenkomst

Het is belangrijk dat u precies weet hoe u met de wijzigingen om moet gaan en wat uw organisatie moet doen om flinke boetes te voorkomen. Dit vraagt om helderheid in communicatie en duidelijke contractuele afspraken met alle (sub)verwerkers wat betreft de verwerking van persoonsgegevens.

Verwerkersovereenkomst volgens de AVG

Kortom, elke organisatie moet kunnen aantonen dat zij werkt met correcte verwerkersovereenkomsten. De Autoriteit Persoonsgegevens kan forse sancties opleggen: van maximaal € 20.000.000 of 4% van de wereldwijde omzet als een organisatie zich niet aan de nieuwe privacywetgeving houdt.


Regel de inhoud van de verwerkersovereenkomst goedlees hier hoe u voldoet aan alle richtlijnen van de AVG