Nieuwe modellen verwerkersovereenkomst AVG

19 februari 2018 Door: Lucas van Gilst

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Wij hebben de huidige modellen bewerkersovereenkomst en subbewerkersovereenkomst daarom aangepast en AVG-proof gemaakt. De nieuwe modellen verwerkersovereenkomst AVG en subverwerkersovereenkomst AVG voldoen daarmee aan alle vereisten die de AVG stelt.

Bekijk verwerkersovereenkomst »

 

Bekijk subverwerkersovereenkomst »

 

 

Wat moet er in de verwerkersovereenkomst AVG staan?

U dient in ieder geval afspraken te maken over de volgende zaken:

Beschrijving doel verwerking

Een omschrijving van de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van persoonsgegevens, de betrokkenen en ontvangers. In onze modellen is een bijlage opgenomen waarin deze gegevens vermeld moeten worden.

Instructies verwerking

De verwerking vindt in principe uitsluitend plaats op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. Vastgelegd moet worden dat de verwerker de persoonsgegevens niet voor eigen doeleinden mag gebruiken.

Geheimhoudingsplicht

Op alle persoonsgegevens die verwerker van verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te verwerken overeenkomstig het in de onderliggende overeenkomst daartoe bepaalde, rust een geheimhoudingsplicht jegens derden.

Beveiliging

Er moet worden vastgelegd welke beveiligingsmaatregelen verwerker heeft genomen. Bij het nemen van de beveiligingsmaatregelen moet rekening worden gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. De beveiligingsmaatregelen omvatten in ieder geval:

  1. de encyptie/pseudonimisering (versleuteling) van persoonsgegevens;
  2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen
    en diensten te garanderen;
  3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
  4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van verwerking.

Subverwerkers

Verwerker zal zijn activiteiten die bestaan uit het verwerken van persoonsgegevens niet uitbesteden aan een subverwerker zonder voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke.

Andere verplichtingen

De AVG en overige (privacy)wetgeving kent aan betrokkenen bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan verwerkingsverantwoordelijke bij de nakoming van de op verwerkingsverantwoordelijke rustende verplichtingen jegens de betrokkenen.

Terugbezorgen of wissen gegevens

Na afloop van de verwerkersovereenkomst AVG draagt verwerker, naar gelang de keuze van verwerkingsverantwoordelijke, zorg voor het terugbezorgen aan verwerkingsverantwoordelijke of het wissen van alle persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

Informatieverplichting en audits

Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit de verwerkersovereenkomst zijn en worden nagekomen. De verwerker moet meewerken aan audits van een verwerkingsverantwoordelijke of die van een derde partij. De verwerker moet daarbij alle relevante informatie beschikbaar stellen om te kunnen controleren of hij zich als verwerker houdt aan de in de verwerkersovereenkomst AVG opgenomen verplichtingen.

Aansprakelijkheid

Verwerkers raden wij aan de aansprakelijkheid voor schade als gevolg van het door de verwerkingsverantwoordelijke uit te sluiten. Hiervoor is in onze modellen een standaardbepaling opgenomen.

Overdraagbaarheid

Het is voor verwerkingsverantwoordelijke en verwerker, tenzij zij dat gezamenlijk overeenkomen en schriftelijk afspreken, niet toegestaan om de verwerkersovereenkomst AVG en de rechten en de plichten die samenhangen met de verwerkersovereenkomst AVG over te dragen aan een ander.

Auteur: Lucas van Gilst