Alles wat u moet weten: Wat is een verwerkersovereenkomst: een complete gids?
Een verwerkersovereenkomst is een juridisch bindend contract tussen een verwerkingsverantwoordelijke (de organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt) en een verwerker (de organisatie die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt). De AVG (GDPR) vereist in artikel 28 dat deze overeenkomst schriftelijk wordt vastgelegd wanneer u persoonsgegevens laat verwerken door een derde partij.
Denk aan uw salarisadministrateur, cloudprovider, e-mailmarketingtool, CRM-leverancier of hostingpartij. Al deze partijen verwerken persoonsgegevens namens u en vereisen een verwerkersovereenkomst.
Verplichte inhoud volgens artikel 28 AVG
De AVG schrijft een aantal verplichte elementen voor die in elke verwerkersovereenkomst moeten staan. Het onderwerp en de duur van de verwerking moeten worden beschreven: welke gegevens worden verwerkt, van welke betrokkenen, en voor welke periode? De aard en het doel van de verwerking moeten worden vastgelegd. De categorieën persoonsgegevens en categorieën betrokkenen moeten worden gespecificeerd.
Daarnaast moet de verwerkersovereenkomst de verplichtingen en rechten van de verwerkingsverantwoordelijke bevatten, evenals de verplichting voor de verwerker om persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerker moet een geheimhoudingsplicht opleggen aan medewerkers, passende technische en organisatorische maatregelen treffen, en toestemming vragen voor het inschakelen van subverwerkers.
Veelgemaakte fouten bij verwerkersovereenkomsten
De meest voorkomende fout is het simpelweg kopiëren van een standaardtemplate zonder deze aan te passen aan de specifieke verwerkingssituatie. Elke verwerkersovereenkomst moet beschrijven welke gegevens worden verwerkt en waarom. Een tweede fout is het niet bijhouden van een register van verwerkers — de AVG vereist dat u weet welke partijen uw persoonsgegevens verwerken.
Een derde veelgemaakte fout is het niet controleren of uw verwerker daadwerkelijk adequate beveiligingsmaatregelen heeft getroffen. Een verwerkersovereenkomst is geen papieren exercitie maar een actief beheerdocument. Tot slot wordt de subverwerkerclausule vaak vergeten of onvolledig ingevuld: als uw cloudprovider Amazon Web Services gebruikt als subverwerker, moet dit zijn vastgelegd en moet u daartoe toestemming hebben gegeven.
Verwerkersovereenkomst en ISO 27001
ISO 27001 Annex A bevat specifieke controls voor leveranciersbeheer (5.19–5.23) die direct aansluiten bij de eisen voor verwerkersovereenkomsten. Een goed geïmplementeerd ISMS bevat processen voor het identificeren van verwerkers, het beoordelen van hun beveiligingsniveau, het opstellen en onderhouden van verwerkersovereenkomsten, en het periodiek reviewen van de naleving.
Organisaties die ISO 27001-gecertificeerd zijn, hebben doorgaans een gestructureerd proces voor verwerkersovereenkomsten. Ons GRC-platform bevat een verwerkersregister en templates die u helpen om verwerkersovereenkomsten systematisch te beheren.
Verwerkersovereenkomst bij internationale doorgifte
Wanneer persoonsgegevens worden doorgegeven naar landen buiten de EER, zijn aanvullende waarborgen vereist. Sinds het Schrems II-arrest zijn Standard Contractual Clauses (SCC's) het meest gebruikte mechanisme. Deze moeten worden opgenomen als bijlage bij de verwerkersovereenkomst, samen met een Transfer Impact Assessment die beoordeelt of het beschermingsniveau in het ontvangende land adequaat is.
Praktische checklist
Gebruik deze checklist om uw verwerkersovereenkomsten te beoordelen: zijn alle verplichte elementen uit artikel 28 AVG aanwezig? Is de beschrijving van de verwerking specifiek genoeg? Is het beveiligingsniveau van de verwerker adequaat en geverifieerd? Zijn subverwerkers geïdentificeerd en goedgekeurd? Is er een procedure voor datalekken opgenomen? Zijn afspraken over audits en controles vastgelegd? Is de overeenkomst recent gereviewed en nog actueel?
Hoe helpt iso2700x.nl?
Onze privacy-experts helpen u bij het opstellen, reviewen en onderhouden van verwerkersovereenkomsten. Via ons GRC-platform beheert u alle verwerkersovereenkomsten centraal, met herinneringen voor reviewdata en wijzigingsbeheer. Neem contact op voor een gratis adviesgesprek.