Verwerkersovereenkomst (NL)

Let op! Dit is de Nederlandse variant. Klik hier voor de Engelse variant.

Waarom een verwerkersovereenkomst?

Wanneer een partij het verwerken van persoonsgegevens bij een andere partij wil uitbesteden, is het wettelijk verplicht om hierover een verwerkersovereenkomst te sluiten. Met deze overeenkomst leggen partijen vast voor welke doeleinden de gegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen en welke vormen van toezicht de eigenaar van de gegevens mag uitoefenen.

Formeel moet de verwerkersovereenkomst als apart document (bijvoorbeeld een bijlage bij een mantelcontract of inkoopcontract) worden opgezet, maar in de praktijk wordt ook vaak volstaan met een artikel in een andere overeenkomst waarin verwerkersbepalingen zijn opgenomen.

Voorbeeldsituatie

U heeft een webwinkel en bewaart alle klantgegevens op via een clouddienst van een hostingbedrijf. In dit geval besteedt u de gegevensverwerking uit aan dit hostingbedrijf, welke in dit geval de verwerker is. U bent in dit geval de verwerkingsverantwoordelijke voor de verwerking: u bepaalt voor welke doeleinden deze gegevens verzameld en gebruikt worden. Met het hostingbedrijf legt u de afspraken voor de verwerkingen vast in de verwerkersovereenkomst.

Wat regelt deze verwerkersovereenkomst?

In een verwerkersovereenkomst wordt geborgd welke plichten die ander heeft, welke verwerkingen mogen worden uitgevoerd en hoe de verwerkingsverantwoordelijke (de uitbestedende partij) daar toezicht op houdt.

Een verwerkersovereenkomst is een juridisch instrument met daarin op zijn minst:

  • Doeleinden van verwerking
  • Verplichtingen van de bewerker
  • Doorgifte van persoonsgegevens naar derde landen
  • Garanties van beide partijen over correct naleven van de wet
  • Beveiliging van de persoonsgegevens door de verwerker
  • Een interne datalekmeldplicht naar de verwerkingsverantwoordelijke
  • Omgaan met verzoeken van betrokkenen
  • Eigendom van de persoonsgegevens
  • Vrijwaringen over claims van betrokkenen en derden (zoals toezichthouders)
  • Geheimhouding bij persoonsgegevens
  • Duur, verlenging en opzegging
  • Wijzigen van de verwerkersovereenkomst

AVG-proof

Deze overeenkomst kan worden gebruikt onder de huidige privacywetgeving – de Algemene Verordening Gegevensbescherming (AVG of in het Engels GDPR) – die per 25 mei 2018 in werking is getreden. In de oude privacywetgeving – de Wet Bescherming Persoonsgegevens (Wbp) – werd deze overeenkomst de 'bewerkersovereenkomst' genoemd.