Haagse Markt 1 www.2-control.n
2-Control B.V. T: x00 (0)00 00 000 00
Xxxxxx Xxxxx 0 www.2-control.n
l
0000 XX Xxxxx xxxx@0-xxxxxxx.xx The Netherlands
Checklist Verwerkersovereenkomst
Onderwerp | Toelichting | Bevinding |
Contractspartijen | De verwerkersovereenkomst bevat afspraken tussen 2 partijen. In de overeenkomsten moet ruimte worden geboden voor de “Verantwoordelijke” (de klant, de verwerkersverantwoordelijke) en de “Verwerker” (de leverancier, de opdrachtnemer). | |
Overweging | In de overeenkomst dient de overweging van het contract te worden opgenomen. Een verwerkersovereekomst is volgens artikel 28, derde lid, verplicht indien op basis van een hoofdovereenkomst een klant-leverancier relatie is aangegaan, waarbij de leverancier Persoonsgegevens verwerkt, waarvoor de klant verantwoordelijk is. Dit is dus de overweging (basis) van het contract. Voorbeeld: OVERWEGENDE DAT: • Partijen een (hoofd)overeenkomst zijn aangegaan waarbij Verwerker Persoonsgegevens verwerkt, waarvoor de Verantwoordelijke verantwoordelijk is. • Conform artikel 28, derde lid, de Partijen, voor zover het de verwerking van Persoonsgegevens betreft, gehouden zijn een overeenkomst te sluiten, waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. |
Onderwerp | Toelichting | Bevinding |
• Krachtens artikel 4, onderdelen 7 en 8, de Partijen, voor zover het de verwerking van Persoonsgegevens betreft, de verhouding Verantwoordelijke en Verwerker hebben. | ||
Definities | De definities liggen vast in de verordening, echter niet iedereen heeft deze bij de hand c.q. leest deze. Om deze reden is het verstandig om de definities die in de overeenkomst worden gebruikt over te nemen. Voorbeeld: 1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon 1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; 1.3 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; |
Onderwerp | Toelichting | Bevinding |
1.4 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; 1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben; 1.6 Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen; 1.7 Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit; 1.8 Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”); 1.9 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens; | ||
Totstandkoming van de Verwerkersovereenkomst | Neem een eenduidig artikel op over de totstandkoming van de verwerkersovereenkomst: Voorbeeld: De Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend. | |
Onderwerp van verwerking | Onderwerp verwijst naar de reden dat Partijen een verwerkersovereenkomst met elkaar moeten sluiten. Dit wordt in principe verwoord bij de “overweging” van het contract. Voorbeeld: Partijen een (hoofd)overeenkomst zijn aangegaan waarbij Verwerker Persoonsgegevens verwerkt, waarvoor de Verantwoordelijke verantwoordelijk is. | |
Aard en doel van de verwerking | In artikel 5 is bepaald: Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden |
Onderwerp | Toelichting | Bevinding |
verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt … ("doelbinding"). In de verwerkersovereenkomst dient het doel van de verwerking van de Persoonsgegevens, die Verwerker verwerkt, te worden opgenomen. Voorbeeld: De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 omschreven. | ||
Soort persoonsgegevens | In de verwerkersovereenkomst dient een overzicht te worden opgenomen van de (soort) Persoonsgegevens die Verwerker verwerkt. Voorbeeld: Zie bij Aard en doel van de verwerking. | |
Categorieën van betrokkenen | In de verwerkersovereenkomst dient een overzicht te worden opgenomen van de (categorieën van) Betrokkenen, waarvan Verwerker Persoonsgegevens verwerkt. Voorbeeld: Zie bij Aard en doel van de verwerking. | |
Duur van de Verwerkersovereenkomst | De verwerkersovereenkomst is een wettelijke verplichting die voortvloeit uit de hoofdovereenkomst. Hierdoor kan de verwerkersovereenkomst niet zomaar worden opgezegd. Voorbeeld: Geen van Partijen kan de Verwerkersovereenkomst tussentijds opzeggen. | |
Beëindiging van de Verwerkersovereenkomst | Zolang nog wordt beschikt over Persoonsgegevens van Xxxxxxxxxxx blijft een partij Verwerker. Na het beëindigen van een hoofdoverkomst heeft de Verwerker de plicht om de Persoonsgegevens te wissen of terug te bezorg en bestaande kopieën te verwijderen (dit staat los van de rechten van de |
Onderwerp | Toelichting | Bevinding |
betrokkenen). Je kunt hier ook verwijzen naar het artikel waarin deze plicht voor Verwerker wordt geregeld Voorbeeld: De beëindiging van de Verwerkersovereenkomst wordt in gang gezet, nadat de Overeenkomst is beëindigd. De Verwerkersovereenkomst eindigt nadat en voor zover Verwerker de Persoonsgegevens heeft gewist of terugbezorgd en bestaande kopieën heeft verwijderd. | ||
Schriftelijke instructie | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3a: Verwerker mag uitsluiten Persoonsgegevens verwerken op basis van schriftelijke instructies. Voorbeeld: Verwerker Verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van schriftelijke instructies van Verantwoordelijke, behoudens afwijkende wettelijke voorschriften die op Verwerker van toepassing zijn. Indien een instructie als bedoeld in het eerste lid naar het oordeel van Verwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Verantwoordelijke daarvan voorafgaand aan de verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt. | |
Geheimhouding | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3b: geheimhouding door Xxxxxxxxx, dus ook geheimhouding door personeel van Xxxxxxxxx. Het is goed om in Verwerkersovereenkomst aan te geven dat het personeel is gehouden aan de geheimhoudingsovereenkomst, bijvoorbeeld door de bij de arbeidsovereenkomst ook hiervoor te tekenen. Voorbeeld: |
Onderwerp | Toelichting | Bevinding |
Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken. Verwerker zorgt dat zijn Personeel zich ertoe heeft verbonden om de vertrouwelijkheid in acht te nemen als bedoeld in lid 1. | ||
Beveiligen persoonsgegevens | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3c: artikel 32 – Beveiligen persoonsgegevens. Hierin staat dat de verwerker passende technische en organisatorische maatregelen moet nemen om een op het risico afgestemd beveiligingsniveau te waarborgen voor de verwerking van Persoonsgegevens, rekening houdend met de stand van de techniek, de uitvoeringskosten, etc. Onder wbp stond nog opgenomen dat Verantwoordelijke verantwoordelijk is voor de naleving van de door Partijen afgesproken maatregelen. Onder AVG is dit ook direct de verantwoordelijkheid van de Verwerker. Voorbeeld streng: Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van |
Onderwerp | Toelichting | Bevinding |
de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd. De maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover is opgenomen in Bijlage. Voorbeeld afgezwakt: Verwerker spant zich in om voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is. | ||
Subverwerker | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3d: subverwerker In artikel 28, tweede lid, stelt de AVG eisen bij het inschakelen van subverwerkers (onderleveranciers): er moet expliciet toestemming worden gegeven voor het inschakelen van subverwerkers. In de overeenkomst moet specifiek staan voor welke subverwerkers toestemming wordt gegeven. Algemene toestemming mag ook, maar dan moet de klant wel op de hoogte worden gehouden van welke subverwerkers gebruik wordt gemaakt en een ‘opt out’ worden geboden als ervan subverwerker wordt gewisseld. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de |
Onderwerp | Toelichting | Bevinding |
toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. Voor Verwerker is het meest praktisch om via de verwerkersovereenkomst een “algemene toestemming” te vragen en dan in een bijlage de huidige subverwerker(s) op te nemen. Voorbeeld: Wanneer Verwerker een andere verwerker (Subverwerker) inschakelt om ten behoeve van Verantwoordelijke verwerkingsactiviteiten te verrichten, worden aan Subverwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen. Verantwoordelijke gaat akkoord met de inzet van de Subverwerkers uit bijlage 1. Verwerker licht de Verantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers (Subverwerkers), waarbij de Verantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. | ||
Rechten van betrokkenen | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3e: Bijstand om verzoeken van rechten van betrokkenen te beantwoorden Voorbeeld: Rekening houdend met de aard van de verwerking en voor zover mogelijk, verleent Verwerker Verantwoordelijke bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden. |
Onderwerp | Toelichting | Bevinding |
Verwerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verantwoordelijke. | ||
Meldplicht | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3f: Bijstand verlenen bij verplichtingen inzake Persoonsgegevensbeveiliging (meldplicht) • Bijstand bij Persoonsgegevensbeveiliging (artikel 32, 33, en 34). Artikel 32 gaat over de “beveiliging van de verwerking”. Zie hier al eerder over. Artikelen 33 en 34 gaan over de meldplicht datalekken. Neem een paragraaf op over “Inbreuk in verband met Persoonsgegevens (Datalek)”. Let op: in de AVG is Xxxxxxxxx verantwoordelijk voor het melden aan de Verantwoordelijke. Voorbeeld: Verwerker informeert Verantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met Persoonsgegevens (Datalek), overeenkomstig de afspraken zoals vastgelegd in Bijlage. Verwerker informeert Verantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Datalek. Verwerker is niet toegestaan een melding te doen aan de Toezichthoudende autorisatie en mag Xxxxxxxxxxx niet informeren over Datalek. Dit is de verantwoordelijkheid van Verantwoordelijke. Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt. | |
Privacy Impact Assessment | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3f: |
Onderwerp | Toelichting | Bevinding |
• Bijstand bij Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging (artikelen 35 en 36) De Verantwoordelijke is verplicht om in bepaalde “nieuwe” situaties een Gegevensbeschermingseffectbeoordeling uit te voeren (beter te noemen: PIA - Privacy Impact Assessment) (artikel 35). Wanneer uit een PIA blijkt dat de (nieuwe) verwerking een hoog risico zou opleveren indien de Verantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de Verantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit (artikel 36). Indien de Verwerker hierbij nodig is dienen hierover separate afspraken te worden gemaakt. Het is niet nodig om hierover in de Verwerkersovereenkomst afspraken te maken. | ||
Verwijderen persoonsgegevens | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3g: Na beëindiging van overeenkomst alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert Voorbeeld: Na afloop van de Overeenkomst draagt Xxxxxxxxx, naar gelang de keuze van Verantwoordelijke, zorg voor het terugbezorgen aan Verantwoordelijke of het wissen van alle Persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften. | |
Nakoming van verplichtingen aantoonbaar maken | Artikel 28, derde lid, vereist een aantal bepalingen voor de verwerker. Lid 3h: regel dat de Verwerker de Verantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in artikel 28 neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de Verantwoordelijke of een door de Verantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt. Neem een paragraaf “Audit” op. |
Onderwerp | Toelichting | Bevinding |
Voorbeeld: Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen. Verwerker verleent alle benodigde medewerking aan audits door (gemachtigde controleur van) Verantwoordelijke. De kosten van deze audits zijn voor rekening van de Verantwoordelijke. Opdrachtgever laat eenmaal per jaar een audit uitvoeren door een onafhankelijke partij. Op aanvraag krijgt Verantwoordelijke direct inzicht in de bevindingen van deze audit (assurance verklaring). De kosten van deze audit is voor rekening van de Verwerker. | ||
Aansprakelijkheid | Artikel 82 van de AVG bepaalt dat de betrokkene recht heeft op schadevergoeding, indien zijn gegevens in strijd met de AVG worden verwerkt. Zowel materiële als immateriële schade komt daarbij voor vergoeding in aanmerking. De Verantwoordelijke of de Verwerker is enkel niet aansprakelijk, indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit. Je hebt te maken met meerdere potentiële financiële schades: 1. Kosten door boete van de autoriteit 2. Kosten n.a.v. conflict tussen Partijen 3. Kosten door schadevergoeding aan betrokkenen Het uitsluiten van aansprakelijkheden hierin is juridische taal en moeilijk te beoordelen. Punten 1 en 2 kunnen worden overeengekomen met standaard paragrafen. Punt 3 is bij wet geregeld en valt moeilijk uit te sluiten. | |
Toepasselijk recht en geschillenbeslechting | Juridische paragraaf. Voorbeeld: De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht. |
Onderwerp | Toelichting | Bevinding |
Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is. | ||
Ondertekening | Verwerkersovereenkomst dient te worden ondertekend door beide Partijen |