Over de AVG: Striktere vereisten voor de bewerkersovereenkomst

  • Standard
  • 29 aug 2019
  • 0 Comments
  • Reinier Overtoom

Op 25 mei 2018 trad de Europese Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening vervangt de huidige Wet bescherming persoonsgegevens (Wbp). Deze verandering heeft grote impact op de verwerking van persoonsgegevens binnen organisaties.

Bewerkersovereenkomst wordt verwerkersovereenkomst
Een van de veranderingen die de AVG met zich meebrengt, heeft betrekking op de bewerkersovereenkomst, die onder de AVG verwerkersovereenkomst wordt genoemd. Een verwerkersovereenkomst wordt nodig geacht indien men gegevensverwerking uitbesteedt aan een derde partij (‘de verwerker’). De AVG heeft hierbij als uitgangspunt dat partijen zelf moeten aantonen dat de gegevensbescherming veilig, transparant en conform wet- en regelgeving is geregeld. Waar de Wbp vrijwel geen eisen stelt aan de bewerkersovereenkomst, ziet de AVG strenger toe op de inhoud van de verwerkersovereenkomst en wordt hieromtrent strikte vereisten gesteld.

Aangepaste terminologie
Let er op wanneer u aan de slag gaat met het opstellen of het aanpassen van uw huidige bewerkersovereenkomst dat de terminologie in de AVG is gewijzigd. De belangrijkste wijzigingen zijn dat de ‘verantwoordelijke’ in de AVG de ‘verwerkingsverantwoordelijke’ wordt genoemd en de ‘bewerker’ de ‘verwerker’. De verwerker is degene die binnen het door de verwerkingsverantwoordelijke gestelde doel en middelen de verwerking van persoonsgegevens uitvoert.

Minimumvereisten overeenkomst
In de AVG worden een aantal minimumvereisten omtrent de invulling van de verwerkersovereenkomst opgelegd. In de overeenkomst moeten onder andere afspraken worden gemaakt over:
• Afspraken omtrent de duur van de verwerking;
• Waarborgen met betrekking tot vertrouwelijkheid;
• Afspraken over datalekken;
• Het doel en de aard van de verwerking;
• Afspraken over de vernietiging en de beveiliging van de gegevens;
• Afspraken over het ter beschikking stellen van persoonsgegevens in het kader van de audits;
• Specifieke taken en verantwoordelijkheden;
• Het soort persoonsgegevens en de categorieën van betrokkenen.

Gevolgen niet-nakoming van de vereisten
Wanneer de vereisten voortvloeiend uit de AVG niet worden nageleefd kunnen hier fikse boetes tegenover staan. Door de boetemogelijkheid op grond van de AVG kan de druk behoorlijk worden opgevoerd, aangezien de boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, mits dit cijfer hoger is dan de maximale boete.

Model Verwerkersovereenkomst voor onderwijs?
PO-Raad en VO-raad sloten in 2015 een Convenant privacy met aanbieders van digitale leermiddelen en ondersteunende digitale systemen met bijbehorende Model Bewerkersovereenkomst. Van zowel het Convenant als het Model Bewerkersovereenkomst is sinds juni 2016 een versie 2.0 beschikbaar. Een nieuw Model Verwerkersovereenkomst dat AVG proof is zou in aantocht zijn. Wanneer je als schoolbestuur nú afspraken maakt met leveranciers van digitale leermiddelen, leerlingadministratie- of leerlingvolgsysteem, anticipeer dan op de nieuwe privacywetgeving. Zorg er zoveel mogelijk voor dat gemaakte afspraken op 25 mei 2018 niet hoeven te worden opengebroken.

Over de auteur: Monica Leenders is advocaat bij Boels Zanders Advocaten en zij geeft leiding aan team Privacy.

.
Dit artikel verscheen in de 16e editie van ons gratis e-magazine Like2Share.
Wilt u meer van dit soort artikelen lezen? Klik dan hier om de magazines te bekijken.