GDPR: Wanneer en hoe stel je een overeenkomst op met verwerkers?

Blog Identiteit & veiligheid Monitoring & compliancy

Ernest Knoeff

Ernest Knoeff Marketing/Communicatie


Met de nieuwe GDPR is het verplicht een verwerkersovereenkomst op te nemen bij uitwisseling van gegevens met een derde partij. Dit is niet nieuw als we kijken naar de huidige Wet bescherming persoonsgegevens (Wbp). In de GDPR is deze verplichting alleen verder uitgebreid met een aantal verplichte onderwerpen. Er wordt in deze wet niet meer gesproken over een bewerker van gegevens, maar over een verwerker.

Verwerkersovereenkomst

Als een organisatie (verwerkingsverantwoordelijke) gegevens van personen verzamelt en samenwerkt met een derde partij, ook wel verwerker genoemd, is de organisatie verplicht een verwerkersovereenkomst af te sluiten. Voorbeelden van verwerkers zijn telemarketingbedrijven, hostingpartijen of verzendhuizen. In een verwerkersovereenkomst maak je afspraken met de verwerker over hoe om te gaan met persoonsgegevens. Deze overeenkomst kan schriftelijk, maar ook in een digitale vorm worden vastgelegd. 

Eisen overeenkomst

Op grond van de nieuwe GDPR dien je binnen de verwerkersovereenkomst tenminste de volgende afspraken op te nemen:

  • Het onderwerp en de duur van de verwerking;
  • Het doel en de manier van de verwerking;
  • Het soort persoonsgegevens dat verwerkt wordt;
  • De categorieën van verwerking van de betrokkenen;
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.

De verwerkersovereenkomst hoeft geen losse overeenkomst te zijn. Sterker nog, bij het sluiten van nieuwe overeenkomsten kan de verwerkersovereenkomst een onderdeel van een algemeen contract zijn.

Beveiligingsmaatregelen

Het is belangrijk dat verwerkers technische en organisatorische beveiligingsmaatregelen treffen om verstrekte data te beschermen. Verwerkers moeten hun informatiesystemen beveiligen tot een niveau dat aansluit bij het type data en het risico van de gegevensverwerking. Het is ook verplicht een zogenoemde exitprocedure op te nemen in de verwerkersovereenkomst. Daarin worden afspraken gemaakt over hoe je na het verwerken van de gegevens deze wist of terugbezorgt (incl. evt. kopieën) bij de verwerkingsverantwoordelijke. De documentatieplicht verplicht je als verwerker een register bij te houden van alle verwerkingsactiviteiten die zijn uitgevoerd voor de verwerkersverantwoordelijke.

Let wel op dat je als verwerker niet zomaar subverwerkers mag inschakelen. Daarvoor moet schriftelijk toestemming worden gegeven door de verwerkingsverantwoordelijke.

Bescherm gegevens met EMS

Microsoft Enterprise & Security Suite (EMS) kan je helpen om aan de regels van de GDPR te voldoen. Zo kan je eenvoudig bestanden versleutelen voor het verzenden en bepaal jij wie de bestanden kan openen. Ook biedt het diverse mogelijkheden om medewerkers veilig thuis of bij de klant te laten werken.

ITON heeft de kennis in huis om jouw gegevens te beveiligen. Wil je hier meer over weten? Neem dan contact met ons op of vul onderstaand contactformulier in en wij nemen contact met jou op.


Laat je gegevens achter en wij nemen contact met je op.

Wil je teruggebeld worden?