Sinds de invoering van de AVG zijn de regels voor het verwerken van persoonsgegevens strenger geworden. Een van de belangrijkste eisen is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. Maar het opstellen van zo’n overeenkomst betekent niet dat je daarna klaar bent. De verwerkersovereenkomst is geen vaststaand en statisch document; je moet op bepaalde dingen blijven letten en zaken aanpassen wanneer dat nodig is. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afgesloten, om te zorgen dat je blijft voldoen aan de AVG.

Download hier een pdf van deze blog

Wat is een verwerkersovereenkomst?

De naam zegt eigenlijk al genoeg: het is een overeenkomst tussen de ‘verwerkingsverantwoordelijke’ en een ‘verwerker.’ De verwerkingsverantwoordelijke is degene die bepaalt waarom en hoe persoonsgegevens worden gebruikt. De ‘verwerker’ is degene die deze persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. In de overeenkomst worden afspraken vastgelegd over wat de verwerker wel en niet mag doen met de persoonsgegevens die hij krijgt van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens alleen verwerken zoals beschreven staat in de overeenkomst, en mag deze dus niet voor eigen doeleinden gebruiken. Lees voor meer informatie ook onze eerdere blog ‘Wat zijn mijn plichten als verwerkingsverantwoordelijke?’.

Het doel van een verwerkersovereenkomst

Het doel van een verwerkersovereenkomst is om ervoor te zorgen dat het verwerken van persoonsgegevens veilig en volgens de wet gebeurt. In de overeenkomst worden verschillende afspraken vastgelegd, waaronder:

• waarom en voor welk(e) doel(en) de persoonsgegevens worden verwerkt;
• de manier waarop de persoonsgegevens worden verwerkt;
• wie verantwoordelijk is voor de verwerking;
• wie toegang heeft tot de persoonsgegevens;
• welke beveiligingsmaatregelen worden genomen om de persoonsgegevens te beschermen;
• de vertrouwelijkheid van de gegevens en hoe geheimhouding wordt gegarandeerd;
• wie aansprakelijk is voor eventuele schade als gevolg van het niet naleven van de Algemene Verordening Gegevensbescherming (AVG) of andere wet- of regelgeving;
• wat er moet gebeuren bij een eventueel datalek: wie is verantwoordelijk voor het melden van het datalek en wie houdt het register van datalekken bij;
• of en onder welke voorwaarden afspraken met andere verwerkers, ook wel ‘sub-verwerkers’ genoemd, kunnen worden gemaakt;
• wat er met de persoonsgegevens moet gebeuren als de opdracht waarop de overeenkomst is gebaseerd wordt beëindigd, bijvoorbeeld door ze terug te geven of te vernietigen;
• hoe de rechten van de personen wiens gegevens worden verwerkt, zoals het recht op inzage en correctie, worden gewaarborgd.

Voor organisaties die veel met persoonsgegevens werken, zoals gemeenten, is het verplicht om verwerkersovereenkomsten zorgvuldig op te stellen en na te leven. Daarom heeft de Vereniging voor Nederlandse Gemeenten (VNG) een standaard verwerkersovereenkomst opgesteld waarin de belangrijkste zaken zijn opgenomen. Dit document maakt het voor gemeenten, leveranciers en ketenpartners eenvoudiger om afspraken te maken over hoe ze persoonsgegevens gaan verwerken. Meer tips nodig bij het afsluiten van een overeenkomst? Lees dan ook onze blog ‘Vijf tips bij het opstellen van een verwerkersovereenkomst’.

Wat moet er gebeuren nadat je een verwerkersovereenkomst hebt afgerond?

Nadat je een verwerkersovereenkomst hebt opgesteld, belandt deze meestal ergens in een (digitale) lade en wordt er in de praktijk (voor zover ik heb gezien) niet veel meer mee gedaan. Misschien wordt de overeenkomst weer eens tevoorschijn gehaald als er problemen zijn. Maar is dat wel de juiste aanpak? Er zijn een aantal zaken om over na te denken en stappen die je moet nemen nadat de overeenkomst is afgerond. Dit om ervoor te zorgen dat je blijft voldoen aan de AVG-richtlijnen en dat de veiligheid van gegevensverwerking gewaarborgd blijft. Het gaat om de volgende stappen:

• Beheer: Ten eerste moet je nadenken over het beheer. Bewaar de verwerkersovereenkomsten op een centrale en veilige plaats, bij voorkeur bij de andere contracten van de betreffende dienstverlener. Maak bijvoorbeeld gebruik van een digitaal documentbeheersysteem, zoals een Zaaksysteem. Zorg ervoor dat alleen geautoriseerde medewerkers toegang hebben tot deze documenten.

• Verantwoordelijkheden: Wijs duidelijke verantwoordelijkheden toe voor het beheer van de verwerkersovereenkomsten. Meestal is de lijnmanager van de afdeling waar de dienstverlening plaatsvindt (vaak proceseigenaar) verantwoordelijk voor het toezicht op de naleving en uitvoering van de overeenkomsten.
  
  
• Controle: Blijf op de hoogte van veranderingen in de wetgeving met betrekking tot gegevensbescherming, aangezien wet- en regelgeving kunnen veranderen (kijk hierbij niet alleen naar de AVG, maar bijvoorbeeld ook nieuwe wetten, zoals de NIS2). Voer regelmatige herzieningen en interne audits uit om ervoor te zorgen dat de verwerkersovereenkomsten up-to-date zijn en in lijn blijven met de geldende eisen. In principe is de lijnmanager hier verantwoordelijk voor en kan hij of zij samenwerken met andere relevante medewerkers, zoals een Privacy Officer, Information Security Officer of Concern controller.

• Bewustwording: Zorg ervoor dat alle medewerkers die betrokken zijn bij de verwerking van persoonsgegevens goed zijn opgeleid over de inhoud en het belang van verwerkersovereenkomsten. Dit vergroot de bewustwording en draagt bij aan het voorkomen van inbreuken op de privacy.

• Toegankelijkheid: Zorg ervoor dat relevante medewerkers gemakkelijk toegang hebben tot de verwerkersovereenkomsten. Dit is belangrijk voor taken zoals risicobeoordeling, auditprocedures en snelle reactie op eventuele datalekken. Denk hierbij aan een ISO of PO die de afdeling ondersteunt, maar vergeet ook de functioneel beheerder niet, die vaak contact heeft met de dienstverlener/leverancier en op de hoogte moet zijn van gemaakte afspraken.

• Wijzigingen: Als er wijzigingen zijn in de manier waarop persoonsgegevens worden verwerkt of in relevante wetgeving, moeten deze wijzigingen worden weerspiegeld in de verwerkersovereenkomsten. Houd een logboek bij van alle wijzigingen, zodat je inzicht hebt in wat wanneer is aangepast.

• Communicatie: Het is verstandig om regelmatig contact te houden met de partij waarmee je de overeenkomst hebt gesloten (de verwerker). Dit kan helpen bij het oplossen van eventuele problemen met betrekking tot de verwerking van persoonsgegevens en het waarborgen van een goede communicatie over gegevensverwerking.

• Feedback en verbetering: Moedig feedback aan van interne medewerkers (en die van de dienstverlener) over de uitvoerbaarheid van de verwerkersovereenkomst. Gebruik deze feedback om het document te verbeteren en ervoor te zorgen dat het relevant en up-to-date blijft.

• Risicobeheersing: Integreer de verwerkersovereenkomst in je bredere risicobeheerstrategie. Zorg ervoor dat risico’s met betrekking tot gegevensverwerking en informatiebeveiliging worden geïdentificeerd en aangepakt volgens de overeenkomst.

Kortom, het afsluiten van een verwerkersovereenkomst is pas het begin als het gaat om het waarborgen van privacy en gegevensbescherming. Het is belangrijk om proactief te blijven handelen en de nodige stappen te ondernemen om ervoor te zorgen dat de overeenkomst daadwerkelijk wordt nageleefd en up-to-date blijft volgens de geldende wet- en regelgeving. Door de bovengenoemde stappen te volgen, kun je ervoor zorgen dat je verwerkersovereenkomsten niet alleen aan de AVG-richtlijnen voldoen, maar ook effectief worden beheerd en bijgewerkt om te blijven voldoen aan de eisen voor gegevensbescherming. Veel succes!

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op.