Verwerkersovereenkomst
Wij hebben een model verwerkersovereenkomst van de wettelijk verplichte schriftelijke afspraken, ter download beschikbaar, die de 'verantwoordelijke' dient te maken met de 'bewerker' die persoonsgegevens vóór de verantwoordelijke verwerkt. De verplichtingen die volgen uit de Algemene Verordening Gegevensbescherming (AVG) zijn hierin verwerkt.
Inleiding
Verantwoordelijke en bewerker
In de privacy regelgeving, zoals de Wet bescherming persoonsgegevens (Wbp) wordt onderscheid gemaakt tussen verantwoordelijke en een bewerker. De verantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en de bewerker degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.Iedere organisatie verwerkt voor eigen doeleinden persoonsgegeven (zoals vrijwilligers, leden, etc). Voor deze verwerkingen is de organisatie de verantwoordelijke. Als een dienstverlener voor derden persoonsgegevens verwerkt, zoals Inzetrooster, dan geldt deze dienstverlener voor deze verwerkingen als bewerker ten opzichte van de opdrachtgever.
De verantwoordelijke dient aan de volledige privacy regelgeving te voldoen. De bewerker moet zich met name houden aan de (schriftelijke) aanwijzingen van de verantwoordelijke en mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
Wettelijke verplichting
Indien een organisatie werkzaamheden uitbesteedt waarbij persoonsgegevens worden verwerkt door de dienstverlener, zoals bij Inzetrooster, zal de uitbestedende organisatie een verwerkersovereenkomst moeten sluiten met de dienstverlener. Deze verplichting vloeit voort uit artikel 14 lid 2 en lid 3 Wbp. De Autoriteit Persoonsgegevens (dan wel College Bescherming Persoonsgegevens) heeft in hoofdstuk 4.2 van de CBP Richtsnoeren Beveiliging van Persoonsgegevens aangegeven welke afspraken in ieder geval in een verwerkersovereenkomst dienen te worden opgenomen. In dit modelcontract zijn deze afspraken verwerkt.
Algemene Verordening Gegevensbescherming (AVG)
In mei 2016 is de AVG aangenomen en deze is sinds 25 mei 2018 van toepassing. Alle organisaties moeten vanaf nu aan de bepalingen van de AVG voldoen. In artikel 28 lid 3 AVG staan de afspraken opgenomen die in ieder geval tussen een verantwoordelijke en bewerker in een schriftelijke overeenkomst dienen te zijn vastgelegd.
Uitgangspunten bij dit model
Bij dit model is gekozen voor het opnemen van bijlagen waarin de specifieke afspraken tussen partijen dienen te worden ingevuld. Het model is geschreven vanuit het perspectief van de bewerker met in achtneming van de vereisten waar de verantwoordelijke aan dient te voldoen.
Verwerkingsovereenkomst ter download beschikbaar
Je kunt als beheerder een verwerkersovereenkomst downloaden welke je kunt vinden op beheer pagina onder het kopje 'Documentatie'.