Verantwoordelijkheden bij het opstellen van de verwerkersovereenkomst

Voldoen aan de AVG begint met het in kaart brengen van de eigen processen. Maar ook de samenwerkingen met externe partijen moeten inzichtelijk zijn. Ook wanneer het gaat om toegangscontrole en identiteitsmanagement zijn er vaak meerdere partijen betrokken bij het verwerken van persoonsgegevens. Wie is dan waarvoor verantwoordelijk? En hoe borgen organisaties die verantwoordelijkheden?

De rollen tijdens een samenwerking: verwerker en verwerkingsverantwoordelijke

De AVG vereist dat organisaties de rollen volgen zoals gesteld binnen de bepalingen. Wanneer een externe partij gegevens verwerkt zonder aan direct toezicht van de opdrachtgever (verwerkingsverantwoordelijke) te zijn onderworpen, is die partij de ‘verwerker’. Voorbeelden hiervan zijn een extern beveiligingsbedrijf dat receptiediensten verzorgt (verwerker) voor een organisatie (verwerkingsverantwoordelijke). Of een marketingorganisatie die observatiedata gebruikt (verwerker) voor promotiedoeleinden van zijn klant (verwerkingsverantwoordelijke).

Welke afspraken staan er in een verwerkersovereenkomst?

Tussen de verwerker en de verwerkingsverantwoordelijke worden afspraken gemaakt. Voor een  externe beveiliger binnen een petrochemische omgeving is bijvoorbeeld een van de afspraken om het identiteitsbewijs te scannen van personen die toegang willen tot het terrein. Dit soort afspraken worden vastgelegd in een verwerkersovereenkomst.  Daarin staan de eisen (art. 28 lid 3 AVG) voor onder meer het gebruik, de opslag, het delen en het borgen van persoonsgegevens. Er is ook nauwkeurig beargumenteerd wat het doel is van de verwerking. Persoonsgegevens mogen bijvoorbeeld niet worden verwerkt voor een ander doel dan beschreven. Ook staan veiligheidsmaatregelen, de procedures bij datalekken en de inzet van subverwerkers beschreven in de verwerkersovereenkomst. Denk aan een  beveiligingsbedrijf dat zijn capaciteit vergroot door een collega-ondernemer onder zijn vlag in te schakelen.

Vertaling van de AVG naar de praktijk

De verwerkersovereenkomst zorgt niet alleen voor borging van de informatie. De formele bevestiging van de samenwerking leidt er ook toe dat externe partijen hun medewerkers bewuster maken van de afspraken die zijn gemaakt en hen goed instrueren. Dit gebeurde natuurlijk al wel. Alleen wordt met het voldoen aan de overeenkomst ook zwart op wit een kwaliteitsstandaard neergelegd. Waarmaken wat je belooft wordt daarmee voor de verwerker nóg belangrijker. Vanuit dat perspectief bezien stimuleert de verwerkersovereenkomst organisaties om de kwaliteit en service naar een hoger niveau te tillen. Een situatie waarin een extern ingehuurde beveiliger goed op de hoogte is over de correcte omgang met persoonsgegevens en het eenvoudig beantwoorden van vragen met welk doel de gegevens van bezoekers worden verzameld en bewaard worden, is daar een goed voorbeeld van.

Neem het voortouw om samenwerkingen te beoordelen

Iedere organisatie is verplicht om de samenwerkingen met externe partijen en rolverdelingen te beoordelen. Vanuit de eigen analyse kunnen organisaties zelf een verwerkersovereenkomst opstellen. Zo houdt u zelf de regie en controle in handen. Wij gaan graag met u in gesprek om u hierbij te helpen.