Vier brandende vragen over de verwerkersovereenkomst

1. Ben ik eigenlijk wel verwerker?

Omdat het laten tekenen van een verwerkersovereenkomst een mooi concreet ding is dat je kunt doen met het oog op compliance, sturen sommige bedrijven gewoon iedere relatie een verwerkersovereenkomst. Dat klopt natuurlijk niet, want je moet wel daadwerkelijk verwerker zijn.

Verwerker ben je als je in opdracht werkt en daarbij de ander laat bepalen wat je doet (doelen) en waarmee (middelen). Die terminologie is wat verwarrend, omdat veel ICT-dienstverleners met name zelf bepalen hoe zij de opdrachten uitvoeren, namelijk met hun eigen software. Uiteindelijk gaat het dan om de zeggenschap over de doelen, hoe vrij ben je om zelf te zeggen, dit doe ik en dit niet. Daarvoor zijn er helaas geen harde criteria, maar we hebben een wizard gemaakt waarmee je dit (gratis) kunt nagaan.

Ben je geen verwerker, teken dan zeker geen verwerkersovereenkomst.

2. Moet ik die verwerkersovereenkomst ook echt tekenen?

Nee, zeker niet. Ook niet als de andere partij zegt dat het een formaliteit is of dat deze nieuwe tekst gewoon moet vanwege de AVG. Dat je iets moet tekenen staat vast, want de AVG eist nu eenmaal specifieke afspraken tussen verwerker en verantwoordelijke. Maar dat is niet hetzelfde als moeten tekenen wat je wederpartij je aanlevert.

Het slimste is je eigen verwerkersovereenkomst gereed te hebben of liefst nu nog op te sturen naar je klanten. Dan ligt jouw document er maar alvast en hoef je niet in te gaan op hun document. Maak er dus snel eentje en zorg dat je je klanten voor bent.

3. Wat moet er écht in een verwerkersovereenkomst?

Omdat het ding verwerkers-‘overeenkomst’ heet, hebben juristen de neiging het ook echt als een contract op te gaan zetten. Dus vermelding van partijen, uitleg over de dienstverlening, handtekeningen en ga zo maar door. Leuk en aardig maar dát staat niet in de AVG. En echt handig is het ook niet, want de verwerkersovereenkomst moet aansluiten bij het echte contract. Dus vaak staan er óf herhalingen in óf dingen die anders zijn dan de hoofdovereenkomst. Beiden niet echt handig.

De AVG zegt (artikel 28 lid 3) dat het volgende erin moet staan:

• Onderwerp van de verwerking – wat ga je doen en onder welk contract, en waarom jij daarbij verwerker bent
• Duur van de verwerking – hoe lang, meestal natuurlijk de looptijd van het echte contract
• Aard en doel – omschrijving van het wat en waarom
• Het soort persoonsgegevens – meestal in een bijlage uitgeschreven als lijstje, zoals namen, e-mailadressen of IP-adressen
• Categorieën van betrokkenen – van welke mensen zijn die gegevens afkomstig
• Rechten van de verantwoordelijke – dat gaat dan om het recht te mogen toezien op jouw nakoming van de verwerkersovereenkomst, het controleren van je beveiliging en je instructies mogen geven over hoe ze graag willen dat dingen gaan
• Verplichtingen van de verantwoordelijke – met name dat ze instaan voor een goede grondslag (zoals toestemming) en de rechten van betrokkenen netjes afhandelen

Het oplettende lezertje zal nu opvallen dat in deze lijst het woord ‘aansprakelijkheid’ ontbreekt. Dat is met opzet, want dat hoeft helemaal niet geregeld te worden in de verwerkersovereenkomst. Je staat dan ook in je recht als je de poot stijf houdt en eist dat artikelen over vrijwaring en aansprakelijkheid eruit gehaald worden. Zeker als je dat al gewoon in je hoofdovereenkomst hebt geregeld.

4. Moet het echt een apart contract zijn?

Nee, dat hoeft niet. De AVG eist dat een “overeenkomst of andere rechtshandeling” wordt verricht om de afspraken over die bullets vast te leggen, en wel schriftelijk, maar zegt niet dat het een apárt document moet zijn. Iedereen doet dat, maar het is nergens voor nodig en zeker niet verplicht. Het is dus prima als je een artikel in je algemene voorwaarden maakt dat je “Verwerking van persoonsgegevens” noemt en waarin je de bovengenoemde punten opneemt.