GDPR/AVG Portaal

GDPR Assessment voor WebwinkelKeur keurmerkhouders

De verwerkersovereenkomst


Inleiding

Dit hoofdstuk behandelt wanneer een verwerkersovereenkomst verplicht is, wat het nut van de verwerkersovereenkomst is en aan welke eisen een dergelijke overeenkomst dient te voldoen.

Eisen aan de verwerkersovereenkomst

Op grond van de GDPR moeten gegevensverantwoordelijken die gebruik maken van externe verwerkers – zoals bijvoorbeeld webwinkelhouders die gebruik maken van een cloud-based webwinkel – een overeenkomst sluiten met de verwerker waarin zij aandacht besteden aan een aantal voor de juiste toepassing van de GDPR relevante onderwerpen. Het spreekt voor zich dat verwerkingsverantwoordelijken die tevens zelf verwerker zijn geen overeenkomst met zichzelf hoeven te sluiten, zij moeten als verwerker wel aan de eisen voldoen die de GDPR aan hen stelt. In art. 28 van de GDPR worden aan deze overeenkomsten een aantal eisen gesteld. De overeenkomst:

  1. benoemt het doel van de verwerking en beperkt (verbiedt) de verwerking van de gegevens voor een ander doel. Er worden regels gesteld voor de verwerker ten aanzien van het laten verwerken (bijvoorbeeld opslaan) van de gegevens bij een verwerker in een ander land (buiten de EU) of een internationale organisatie;

  2. verplicht het vertrouwelijk houden (geheimhouding) van de gegevens door de verwerker en zijn medewerkers en door hem ingeschakelde andere verwerkers. Dit is niet nodig indien zij reeds op grond van de wet tot geheimhouding verplicht zijn (beroepsgeheim, beëdigde ambtenaren);

  3. verplicht de verwerker alle in art. 32 van de GDPR genoemde maatregelen te nemen. Deze maatregelen zien op de beveiliging van de persoonsgegevens. Aansluiting bij een erkende gedragscode of certificering ook mogelijk.

  4. regelt de verplichting van de verwerker om niet zonder toestemming van de verwerkingsverantwoordelijke een andere verwerker in te schakelen. Als de toestemming al vooraf is gegeven (algemene toestemming) dan wordt de verwerker verplicht de verwerkingsverantwoordelijke van zijn voornemen op de hoogte te brengen met vermelding van de omstandigheden die tot zijn keuze een andere verwerker in te schakelen hebben geleid. In alle gevallen is de verwerker verplicht om de door hem ingeschakelde verwerker te binden aan alle bepalingen uit de overeenkomst tussen hem en de verwerkingsverantwoordelijke;

  5. verplicht de verwerker om de gegevensverantwoordelijke behulpzaam te zijn bij verzoeken van de betrokkene op grond van hoofdstuk III van de GDPR, zoals bijvoorbeeld vergeet- of rectificatieverzoeken;

  6. regelt de verplichting van de verwerker om de gegevensverantwoordelijke bij te staan bij het uitvoeren van zijn verplichtingen die samenhangen met de bijzondere eisen met betrekking tot gegevensbescherming, zoals bijvoorbeeld het melden van datalekken en het uitvoeren van een zogeheten ‘gegevensbeschermingseffectbeoordeling’. Met deze laatste categorie verplichtingen krijgt een kleine ondernemer waarschijnlijk niet te maken;

  7. regelt wat er gebeurt aan het einde van de overeenkomst: worden gegevens gewist of teruggegeven;

  8. verplicht de verwerker om volledige medewerking te verlenen aan audits, inspecties en onderzoeken door of namens de gegevensverantwoordelijke, en hieraan bijdraagt.
LET OP! Bepaalde onderdelen van de verwerkersovereenkomst worden op termijn mogelijk vervangen door van overheidswege bepaalde standaardbepalingen. Houd uw verwerkersovereenkomsten dus up-to-date!

Hulp nodig?

Wij zitten tussen 10.00 en 18.00 uur voor u klaar om uw vragen te beantwoorden!

Neem contact met ons op

contactgegevens


Postadres
H.L. Wichersstraat 11 A
9723 AD Groningen

Bezoekadres (op afspraak)
Moermanskweg 2-5
9723 HM Groningen

  • 050 785 22 82
  • 050 711 93 80
  • 06 482 66 566

wij zijn partner van


Image
Image
Image
Image
Image