Op 25 mei 2018 zal de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht gaan. Deze verordening vervangt de huidige Wet bescherming persoonsgegevens (Wbp). Deze verandering zal grote impact hebben op de verwerking van persoonsgegevens binnen organisaties.

Een van de veranderingen die de AVG met zich meebrengt, heeft betrekking op de bewerkersovereenkomst, die onder de AVG verwerkersovereenkomst wordt genoemd. Een verwerkersovereenkomst wordt nodig geacht indien men gegevensverwerking uitbesteedt aan een derde partij (‘de verwerker’). De AVG heeft hierbij als uitgangspunt dat partijen zelf moeten aantonen dat de gegevensbescherming veilig, transparant en conform wet- en regelgeving is geregeld. Waar de Wbp vrijwel geen eisen stelt aan de bewerkersovereenkomst, ziet de AVG strenger toe op de inhoud van de overeenkomst en wordt hieromtrent strikte vereisten gesteld.

Aangepaste terminologie
Let er op wanneer u aan de slag gaat met het opstellen of het aanpassen van uw huidige bewerkersovereenkomst dat de terminologie in de AVG is gewijzigd. De belangrijkste wijzigingen zijn dat de ‘verantwoordelijke’ in de AVG de ‘verwerkingsverantwoordelijke’ wordt genoemd en de ‘bewerker’ de ‘verwerker’. De verwerker is degene die binnen het door de verwerkingsverantwoordelijke gestelde doel en middelen de verwerking van persoonsgegevens uitvoert.

Minimumvereisten overeenkomst
In de AVG worden een aantal minimumvereisten omtrent de invulling van de verwerkersovereenkomst opgelegd. In de overeenkomst moeten onder andere afspraken worden gemaakt over:

• Afspraken omtrent de duur van de verwerking;
• Waarborgen met betrekking tot vertrouwelijkheid;
• Afspraken over datalekken;
• Het doel en de aard van de verwerking;
• Afspraken over de vernietiging en de beveiliging van de gegevens;
• Afspraken over het ter beschikking stellen van persoonsgegevens in het kader van de audits;
• Specifieke taken en verantwoordelijkheden;
• Het soort persoonsgegevens en de categorieën van betrokkenen.

 

Gevolgen niet-nakoming van de vereisten
Wanneer de vereisten voortvloeiend uit de AVG niet worden nageleefd kunnen hier fikse boetes tegenover staan. Door de boetemogelijkheid op grond van de AVG kan de druk behoorlijk worden opgevoerd, aangezien de boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, mits dit cijfer hoger is dan de maximale boete.

Indien u vragen heeft over de verplichtingen die de AVG u oplegt, zoals het opstellen van een verwerkersovereenkomst of het aanpassen van uw huidige documenten, neem dan contact op met ons team privacy.