Maakt u voor de verwerking van persoonsgegevens binnen uw bedrijf – bijvoorbeeld gegevens van klanten of medewerkers - gebruik van diensten van leveranciers die ook toegang hebben tot deze gegevens? Dan mag u uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen. En bij wie bovendien de bescherming van de rechten van individuen is geborgd.
VERWERKER
Denk hierbij aan leveranciers voor uw webshop of salarisadministratie. Deze leveranciers worden in het kader van de AVG ‘verwerker’ genoemd. De afspraken met verwerkers over de verwerking van persoonsgegevens moet u vastleggen in:
-
een verwerkersovereenkomst
-
of in andere bindende afspraken
Dit wil zeggen dat u zelf mag bepalen hoe u de afspraken vastlegt, mits het u en de leverancier maar bindt. Zo kunt u afspraken en voorwaarden bijvoorbeeld ook vastleggen in een paragraaf bij uw dienstverleningsovereenkomst of opnemen in uw algemene voorwaarden.
Let op!
Voorwaarde is dat de vastlegging van afspraken en voorwaarden in schriftelijke of in digitale vorm gebeurt.
Verwerken is een breed begrip. Volgens de AVG gaat het o.a. om het opslaan, wijzigen, raadplegen, doorzenden, verzamelen, opvragen en vernietigen van persoonsgegevens. Samengevat: alles wat je met persoonsgegevens kunt doen.
Wat moet er worden vastgelegd in een verwerkersovereenkomst? De volgende onderdelen moeten op basis van de AVG minimaal worden vastgelegd:
1. VERWERKINGSVERANTWOORDELIJKE EN VERWERKER
Duidelijk moet zijn dat uw bedrijf verwerkingsverantwoordelijke is voor de persoonsgegevens en de ingeschakelde leverancier verwerker.
2. INSTRUCTIES
De verwerker verwerkt de persoonsgegevens alleen op basis van uw (schriftelijke) instructies, met het doel uitvoering te geven aan de dienstverleningsovereenkomst, tenzij verwerking verplicht is op basis van een wettelijk voorschrift.
3. CATEGORIEËN PERSOONSGEGEVENS
De verwerker verwerkt alleen die persoonsgegevens die vereist zijn om de opdracht uit te kunnen voeren. Daaronder vallen bijvoorbeeld naam, adres, telefoonnummer, e-mailadres van consument of medewerker. De categorieën van persoonsgegevens die verwerkt worden, worden opgenomen in een bijlage bij de verwerkersovereenkomst.
4. GEHEIMHOUDING
De verwerker is verplicht tot geheimhouding van de persoonsgegevens die hij van u ontvangt, tenzij een wettelijk voorschrift de verwerker tot mededelen verplicht. Verwerker waarborgt dat de degenen die onder zijn gezag persoonsgegevens verwerken, gebonden zijn aan geheimhouding. Dit geldt dus ook voor de door de verwerker ingeschakelde onderaannemers (zie hieronder bij sub-verwerkers).
5. TECHNISCHE EN ORGANISATORISCHE (BEVEILIGINGS)MAATREGELEN
De verwerker moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen zorgen voor een adequaat niveau van bescherming. De door verwerker genomen beveiligingsmaatregelen worden omschreven in een bijlage bij de verwerkersovereenkomst of afzonderlijk vermeld op bijvoorbeeld de website van het bedrijf.
6. PRIVACYRECHTEN BETROKKENEN
De verwerker zal alle medewerking verlenen om er voor te zorgen dat u kunt voldoen aan uw verplichtingen richting betrokkenen (dit zijn de klanten of medewerkers). U bent verantwoordelijk voor het informeren van betrokkenen en het reageren op verzoeken, zoals het verzoek tot inzage, rectificatie of wissen van persoonsgegevens. Indien een betrokkene de uitoefening van zijn/haar rechten rechtstreeks aan de verwerker richt, moet hij/zij dit verzoek naar u door sturen.
7. RECHT OP AUDIT
U heeft periodiek het recht een geautoriseerde derde partij een controle uit te laten voeren om te checken of de verwerker voldoet aan de verplichtingen uit de AVG. Tenzij voor de betreffende dienst bijvoorbeeld een assurance-verklaring of certificering beschikbaar is.
8. DOORGIFTE
Zonder voorafgaande (schriftelijke) toestemming van u als opdrachtgever, is het de verwerker niet toegestaan persoonsgegevens te verwerken en/of door te geven aan derden in landen buiten de Europese Economische Ruimte.
9. INCIDENTEN EN DATALEKKEN
De verwerker is verplicht u zo spoedig mogelijk in kennis te stellen van een incident in verband met persoonsgegevens, zoals een datalek. De verwerker zal alle medewerking verlenen die in redelijkheid van verwerker kan worden verwacht om er voor te zorgen dat u kunt voldoen aan uw verplichtingen uit de AVG.
10. SUB-VERWERKERS
Indien de verwerker bepaalde werkzaamheden uitbesteedt aan zogenaamde sub-verwerkers, draagt de verwerker er zorg voor dat de sub-verwerker door een schriftelijke overeenkomst is gebonden aan tenminste dezelfde eisen als de verwerker zelf. Voor het inschakelen van een nieuwe sub-verwerker dient u volgens de wet toestemming te geven. In een bijlage wordt een overzicht van de huidige sub-verwerkers opgenomen.
Zie de afbeelding voor een mogelijke keten van (sub-)verwerkers en de gelijke afspraken die gemaakt moeten worden met betrekking tot de verwerking van persoonsgegevens.
11. BEWAREN EN VERNIETIGEN
De verwerker bewaart de persoonsgegevens minimaal gedurende de looptijd van de overeenkomst en zal de persoonsgegevens die hij ten behoeve van zijn werkzaamheden heeft ontvangen daarna indien mogelijk vernietigen dan wel aan u retourneren.
Lees meer over de AVG
Inzage personeelsdossier voor werknemer
Werknemers hebben op grond van de AVG het recht om hun persoonsgegevens in te zien. Hoe moet u hieraan meewerken? Welke gegevens moet u verplicht laten zien?
Voldoe in 5 stappen aan de AVG
Bedrijven en organisaties die werken met persoonsgegevens moeten rekening houden met de AVG (ook kleine mkb’ers en zzp’ers). In 5 stappen bent u AVG-proof.
Hoe beveilig ik mijn persoonsgegevens?
U moet volgens de strengere privacywet AVG uw persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geeft u daar invulling aan?
Wat is een persoonsgegeven?
Wat is een persoonsgegeven en wat niet? En welke categorieën van persoonsgegevens zijn te onderscheiden? Dit is belangrijk om te kunnen weten of de privacywet AVG wel of niet van toepassing is.
Persoonsgegevens bewaren
Volgens de AVG mag u persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de gegevens vernietigen.
Register van verwerkingen
De belangrijkste eis in de AVG is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.
Kleine ondernemer niet meteen beboet
Kleine ondernemers en organisaties hoeven niet bang te zijn dat ze direct beboet worden als ze nog niet volledig voldoen aan de AVG.
Vraag toestemming voor gebruik foto's!
Gebruikt u foto’s van werknemers of klanten voor uw website of voor nieuwsbrieven? Dan moet u expliciet toestemming krijgen. Aan welke voorwaarden moet die toestemming voldoen?
Omgaan met incidenten en datalekken
De AVG schrijft voor dat uw organisatie inbreuken in verband met de verwerking van persoonsgegevens (datalekken) moet melden. Waaraan moet u precies voldoen?
AVG-regels als uw werknemer vertrekt
Gaat uw werknemer (die beschikt over belangrijke persoons- en privacygevoelige gegevens) het bedrijf verlaten? Neem dan maatregelen en maak goede afspraken met uw (ex-)werknemer.
Datalekken, wat leren we ervan?
In 2018 zijn er 20.881 datalekken aan de Autoriteit Persoonsgegevens gemeld. Wat kunnen we hiervan leren?