Verwerkersovereenkomsten, blind tekenen of ….?

Is het juridisch laten toetsen van verwerkersovereenkomsten nuttig? Een vraag die ik, als adviseur privacy, volmondig met ja beantwoord. En dan niet alleen omdat ik jurist ben met een (wellicht) ongezonde interesse voor regeltjes en goede afspraken.

Posted on October 25, 2018 in Blog.

“Volgens mij besteden we veel meer tijd aan het beoordelen van een verwerkersovereenkomst dan ooit iemand heeft stilgestaan bij het afsluiten van de oorspronkelijke overeenkomst…” zuchtte een klant. Een terechte opmerking, die de vraag opwerpt of het beoordelen van verwerkersovereenkomsten zin heeft.

Wat maakt een verwerkersovereenkomst belangrijk?

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om verwerkersovereenkomsten af te sluiten met organisaties waarmee zij persoonsgegevens uitwisselen, verwerkers genoemd. Daarnaast verplicht de AVG organisaties om zorgvuldig om te gaan met de persoonsgegevens die hen worden toevertrouwd.

De verwerkersovereenkomst is bij uitstek het middel om te waarborgen dat verwerkers waar jouw organisatie mee werkt, dezelfde zorgvuldigheidstandaard naleven. Daarnaast bieden verwerkersovereenkomsten de mogelijkheid om de risico’s en kansen in kaart te brengen ten aanzien van leveranciers en andere verwerkers.

Hoe beoordeel je een verwerkersovereenkomst?

Wil je erachter komen of een verwerker zorgvuldig met persoonsgegevens omgaat en waar de risico’s liggen voor jouw organisatie? Het antwoord is afhankelijk van het type organisatie, het type persoonsgegevens en de verwerker. Je kunt daarbij op verschillende dingen letten, bijvoorbeeld:

  • Het type persoonsgegevens

Het type persoonsgegevens bepaalt in belangrijke mate het risico dat een organisatie loopt. Als alleen een naam wordt verwerkt, zijn de risico’s bijvoorbeeld kleiner dan wanneer financiële gegevens en BSN-nummers worden verwerkt.

  • Het doel waarmee gegevens worden verwerkt

Hiermee kun je als organisatie bepalen hoe belangrijk deze verwerker is, en in welke mate je van die verwerker afhankelijk bent. De afhankelijkheid bepaalt ook hoe belangrijk afspraken zijn over continuïteitsproblemen bij je verwerker. Dit is bij een overeenkomst tussen een zorginstelling en een leverancier van een elektronisch patiëntendossier anders dan bij een tool op een website die analyseert hoe jouw klanten op jouw website komen.

  • De beveiligingsmaatregelen die de verwerker neemt

De overeenkomst bevat vaak een onderdeel waarin staat welke beveiligingsmaatregelen een verwerker treft, maar ook hoe je kunt controleren dat de verwerker deze maatregelen naleeft. Om het belang hiervan te kunnen bepalen en om daarover goede afspraken te maken, moet je weten wat de mogelijke gevolgen voor jouw organisatie zijn als toch een beveiligingsincident plaatsvindt bij deze verwerker.

En na deze beoordeling?

Door goed naar de verwerkersovereenkomst te kijken, kun je tot de conclusie komen dat een applicatie op je website veel meer gegevens verzamelt van jouw klanten dan je dacht. Daardoor kan je organisatie ervoor kiezen toch met een andere partij in zee te gaan. Of je maakt aanvullende afspraken met de verwerker.

Soms is dat moeilijk, bijvoorbeeld omdat er maar één aanbieder is en jouw organisatie daarvan afhankelijk is. Ook dan heeft het zin om verwerkersovereenkomsten te beoordelen. Hieruit kun je namelijk de risico’s voor jouw organisatie in kaart brengen. Dat maakt het weer mogelijk om te bepalen of aanvullende maatregelen nodig zijn om die risico’s te beperken, of dat je daar met een gerust hart vanaf kunt zien. Ook daarmee laat je zien dat je zorgvuldig omgaat met de privacy van de personen die jou hun gegevens toevertrouwen.

Het juridisch laten toetsen van verwerkersovereenkomsten is dus zeker niet jammer van de tijd of moeite, maar heel nuttig. Qbit helpt je de kansen en risico’s van een verwerkersovereenkomst in kaart te brengen en kan je hierover adviseren. Neem gerust eens contact op met ons via een van onze adviseurs of hello@qbit.nl.

Ik kom graag in contact met Qbit

Kelly Sprenkeling

By Kelly Sprenkeling

Advisory & Assurance

Any questions about this post or our services? Just mail me or call me on +31 6 13 975 823.

Contact us