De AVG schrijft voor dat de volgende onderdelen vastgelegd moeten worden in een verwerkersovereenkomst (of ander document met juridische binding):
- Algemene beschrijving– Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen als verwerkingsverantwoordelijke.
- Instructies verwerking– De verwerking vindt in principe uitsluitend plaats op basis van de schriftelijke instructies van de verantwoordelijke. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
- Geheimhoudingsplicht– Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
- Beveiliging– De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
- Subverwerkers– De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting de verantwoordelijke heeft. In de overeenkomst kan ook direct afgesproken worden dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting de verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).
- Privacyrechten– De verwerker helpt om te voldoen aan de plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
- Andere verplichtingen– De verwerker helpt ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
- Gegevens verwijderen– Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze terug, als dat wenselijk is. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
- Audits– De verwerker werkt mee aan audits van de verantwoordelijke of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG)
Bron: Autoriteit Persoonsgegevens (bewerkt)
Tot slot raden wij aan om altijd te kijken naar de aansprakelijkheidsclausule. Dit is een bepaling in de (verwerkers)overeenkomst waarin afspraken worden gemaakt over eventuele aansprakelijkheden. Het is aan te raden om hier altijd kritisch naar te kijken. Vaak is het zo dat als een verwerker de verwerkersovereenkomst aanlevert, deze vaak in het voordeel van de verwerker is opgesteld. Dit kan dus betekenen dat de aansprakelijkheid van de verwerker gedeeltelijk of volledig is uitgesloten (exoneratie). Dit kan een (groot) risico zijn.
