De verwerkersovereenkomst voor ICT-dienstverleners: wat moet hierin worden opgenomen?

Wanneer en wat is een verwerkersovereenkomt op basis van de AVG?

Een verwerkersovereenkomst is een overeenkomst die gesloten wordt tussen een verwerkingsverantwoordelijke en een verwerker. Dit is verplicht om te doen indien een verwerkingsverantwoordelijke een derde partij inschakelt die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens gaat verwerken. De verwerker is in dit geval vaak een ICT-dienstverlener. In deze blog worden de verplichte onderdelen besproken die op basis van de Algemene verordening gegevensbescherming (AVG) in de verwerkersovereenkomst voor een ICT-dienstverlener moeten worden opgenomen.

Voorbeelden van verplichtingen voor de verwerker

De ICT-dienstverlener moet zorgvuldig omgaan met de persoonsgegevens die verwerkt worden ten behoeve van de verwerkingsveranwoordelijke. Daarbij is het vooral belangrijk dat de verwerker zelf aan de verplichtingen voldoet die de AVG voorschrijft. Dit moet dan ook worden opgenomen in de verwerkersovereenkomst. Daarnaast moet de verwerker ervoor zorgen dat de afspraken die zijn gemaakt met de verwerkingsverantwoordelijke ook worden gemaakt met de sub-verwerkers die de verwerker weer inschakelt om de persoonsgegevens te verwerken. Verder is het belangrijk om in de verwerkersovereenkomst op te nemen dat de verwerker de persoonsgegevens alleen mag verwerken binnen de Europese Economische ruimte (EER) of er kan ook worden opgenomen dat de verwerker de persoonsgegevens mag doorgeven naar een land buiten de EER maar dat dit land wel een passend beschermingsniveau moet hebben en de sub-verwerker verder zelf aan de AVG voldoet.

Ondersteuning aan de verwerkingsverantwoordelijke

In de verwerkersovereenkomst moet de afspraak worden gemaakt dat de ICT-dienstverlener de verwerkingsverantwoordelijke ondersteuning zal bieden als de verwerkeringsverantwoordelijke aan haar verplichtingen op basis van de AVG moet voldoen. Hierbij kan gedacht worden aan ondersteuning bij het uitvoeren van een DPIA of als een toezichthouder vragen heeft gesteld aan de verwerkingsverantwoordelijke. De verwerker moet ook ondersteuning bieden indien betrokkenen hun rechten tegenover de verwerkingsverantwoordelijke willen uitvoeren. Denk hierbij aan de situatie dat een betrokkene graag bepaalde gegevens wil inzien en de verwerker de beschikking heeft over deze gegevens.

Beveiligingsmaatregelen ICT-dienstverlener

De AVG schrijft voor dat de verwerkersovereenkomst afspraken bevat over de beveilingsmaatregelen die genomen moeten worden ten aanzien van de verwerking van de persoonsgegevens. De verantwoordelijkheid hiervoor wordt zowel gedragen door de verwerkingsverantwoordelijke als de ICT-dienstverlener. Het niet goed beveiligen van persoonsgegevens kan leiden tot hoge boetes van de toezichthouder. Vandaar dat de beveilingsmaatregen in de verwerkersovereenkomst naar voren moeten komen zodat het voor zowel de verwerkingsverantwoordelijke als de verwerker duidelijk is welke maatregelen er van toepassing zijn en genomen moeten worden. De beveilingsmaatregelen moeten bijvoorbeeld datalekken voorkomen. Het is daarom belangrijk dat in de verwerkersovereenkomst een procedure wordt opgenomen waarin wordt beschreven hoe de verwerker een datalek bij de verwerkingsverantwoordelijke moet melden indien er zich toch een datalek voordoet ondanks de genomen beveilingsmaatregelen. 

Einde overeenkomst

Indien de (commerciële) overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker tot een einde komt, is de verwerker verplicht de persoonsgegevens te vernietigen of terug te geven aan de verwerkingsverantwoordelijke. Dit moet gebeuren aangezien het einde van de overeenkomst resulteert in het feit dat de verwerker geen grondslag meer heeft om de persoonsgegevens te verwerken. Het is voor de verwerker aan te raden dat bij de onderhandeling over de verwerkersovereenkomst wordt besloten dat de eventuele toepasselijke kosten voor de verwijdering of de teruggave bij de verwerkingsverantwoordelijke komen te liggen.

Auditrecht

Op basis van de AVG heeft de verwerkingsverantwoordelijke het recht om een audit uit te voeren om te controleren of de verwerker aan de verwerkersovereenkomst voldoet. Zo kan er een audit worden uitgevoerd of de verwerker de afgesproken beveilingsmaatregelen naleeft of er wordt gecontroleerd of de persoonsgegevens niet voor een ander doel worden gebruikt zoals afgesproken is tussen de verwerkingsverantwoordelijke en de verwerker. Er wordt aan verwerkers geadviseerd om in de verwerkersovereenkomst op te laten nemen dat de kosten voor de audit bij de verwerkingsverantwoordelijke liggen.

De betekenis van een verwerkersovereenkomst

De AVG schrijft de verwerkersovereenkomst niet voor als een daadwerkelijke overeenkomst. De AVG schrijft alleen voor dat de hiervoor beschreven onderwerpen afgesproken moeten worden maar niet dat dit daadwerkelijk in getekende overeenkomst geregeld moet worden. Daarom kan een verwerkersovereenkomst ook worden opgenomen in bijvoorbeeld de algemene voorwaarden van de verwerkingsverantwoordelijke of de verwerker. Deze zullen dan wel even goed moeten worden gecontroleerd en worden beoordeeld door een ICT-jurist van de andere partij.