Van cliënten krijg ik vaak de vraag of zij een zogenoemde verwerkersovereenkomst moeten sluiten omdat zij bepaalde werkzaamheden hebben uitbesteed waarbij persoonsgegevens worden verwerkt. In deze blog ga ik in op de volgende vragen:

Wanneer is er sprake van "verwerking van persoonsgegevens"?

Wat is een verwerkersovereenkomst?

Wanneer moet ik een verwerkersovereenkomst sluiten?

Ad 1) Wanneer is er sprake van verwerking persoonsgegevens?

Zoals vermeld in mijn eerdere blog "Help! Ik verwerk persoonsgegevens. Moet ik nu een "Impact Assessment" uitvoeren?", is van verwerking van persoonsgegevens kort gezegd sprake als het gaat om een bewerking of geheel van bewerkingen van gegevens die herleidbaar zijn naar een natuurlijk persoon. De Algemene Verordening Gegevensbescherming (AVG) geeft de volgende voorbeelden: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Kortom: van verwerking van persoonsgegevens is al snel sprake!

Denk hierbij bijvoorbeeld aan het plaatsen van een foto van iemand op een website, het opslaan van beelden van beveiligingscamera's of aan het beheren van personeelsgegevens en loonadministratie. Als uw bedrijf een ander bedrijf inschakelt om persoonsgegevens te verwerken, bijvoorbeeld door de loonadministratie uit te besteden, dan dient u met dat andere bedrijf een verwerkersovereenkomst te sluiten.

Dat andere bedrijf is in deze situatie verwerker. Uw bedrijf blijft verwerkingsverantwoordelijke. Uw werknemers hebben namelijk aan uw bedrijf hun persoonsgegevens toevertrouwd.

De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw bedrijf dus beslist "waarom" en "hoe" persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.

Een verwerker verwerkt de gegevens uitsluitend namens de verwerkingsverantwoordelijke. Een verwerker is meestal een derde partij, buiten uw bedrijf.

Ad 2) Wat is een verwerkersovereenkomst?

In een verwerkersovereenkomst worden afspraken tussen verwerkingsverantwoordelijken en verwerkers vastgelegd. Dit zijn afspraken over (onder meer) de beveiliging van persoonsgegevens, de geheimhoudingsverplichting en de rechten van betrokkenen.

Ad 3) Wanneer moet ik een verwerkersovereenkomst sluiten?

Zoals aangegeven, moet u een verwerkersovereenkomst afsluiten als u persoonsgegevens doorgeeft aan een verwerker.

Als u persoonsgegevens doorgeeft aan een zelfstandige verwerkingsverantwoordelijke, hoeft u géén verwerkersovereenkomst af te sluiten. Een zelfstandige verwerkingsverantwoordelijke is een organisatie die zelf bepaalt voor welke doeleinden zij persoonsgegevens verwerkt en hoe zij deze persoonsgegevens verwerkt.

Een voorbeeld van een verwerkingsverantwoordelijke is het UWV. Omdat in de wet expliciet staat dat het UWV persoonsgegevens mag verwerken is het UWV geen verwerker namens u, maar een verwerkingsverantwoordelijke. Zij verwerkt de persoonsgegevens van uw organisatie voor eigen doeleinden.

In sommige gevallen is het niet direct duidelijk of een verwerkingsovereenkomst verplicht is. Denk bijvoorbeeld aan het inschakelen van een Arbodienst. Het hangt er dan van af of de uitbestede werkzaamheden vallen onder de wettelijke taken van de Arbodienst of van de werkgever zelf.

Als de werkzaamheden vallen onder de wettelijke taken van de Arbodienst , dan is er géén verwerkersovereenkomst nodig. Hierbij kan gedacht worden aan het adviseren bij de begeleiding van zieke werknemers en het uitvoeren van het arbeidsgezondheidskundig onderzoek.

Als de werkzaamheden vallen onder de wettelijke taken van een werkgever , dan is er wél een verwerkersovereenkomst nodig. Gedacht kan worden aan het opstellen van een plan van aanpak samen met de zieke werknemer of het uitvoeren van de eerstejaarsevaluatie. Als de werkgever ook deze taken heeft uitbesteed aan de Arbodienst, dan is er wél een verwerkersovereenkomst nodig.

Hebt u vragen over het opstellen van een verwerkersovereenkomst? Kunnen wij bijvoorbeeld checken of aan alle vereisten1 is voldaan? Of hebt u andere vragen over privacyrecht? Neem dan contact op met Annemarie de Best.

1 Denk aan:

– onderwerp en duur van de verwerking;

– aard en doel van de verwerking;

– het soort persoonsgegevens en categorieën van betrokkenen;

– de rechten en verplichtingen van de verwerkingsverantwoordelijke.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.