Als ondernemer schakel je vaak andere organisaties in om persoonsgegevens te verwerken voor je bedrijf. Denk bijvoorbeeld aan de accountant die de boekhouding verzorgt. Of aan de salarisadministrateur die jou ondersteunt bij je personeelszaken. Maar bijvoorbeeld ook aan een clouddienst om de persoonsgegevens op te slaan. Deze andere organisaties noemen wij verwerkers. Zelf blijf je met je onderneming verwerkersverantwoordelijke.
Uiteraard is met het inschakelen van een verwerker zelf niets mis. Wel is van belang dat je in dat geval je verantwoordelijkheid neemt om ervoor te zorgen dat de door jou aangeleverde persoonsgegevens worden verwerkt op een veilige manier.
Eigen keuze
Volgens de privacywetgeving ben je als verwerkingsverantwoordelijke verplicht om een verwerkersovereenkomst te sluiten met je verwerker. Doe je dat niet, dan zijn jullie beiden in overtreding. De Europese Commissie heeft in dit kader een standaard voorbeeldovereenkomst ter beschikking gesteld, die hiervoor kan worden gebruikt.
Zoals zich al laat raden, draag jij als verwerkingsverantwoordelijke altijd de eindverantwoordelijkheid voor de bescherming van de verwerkte persoonsgegevens. De achterliggende gedachte hierbij is dat je als ondernemer zelf de keuze maakt om de gegevensverwerking uit te besteden. Je kiest er met andere woorden zelf voor om deze gegevens met een ander te delen. Jouw klanten of personeelsleden mogen hiervan niet de dupe worden. Ook hebben zij geen directe relatie met je verwerker.
Overigens neemt dit niet weg dat de verwerker ook een eigen verantwoordelijkheid hierin draagt. Ook zij zal zich moeten houden aan de privacyregels. Als verwerkingsverantwoordelijke doe je er dan ook goed aan om je verwerker hierop te wijzen. Temeer omdat jouw bedrijf dus de eindverantwoordelijkheid draagt wanneer je verwerker over de schreef gaat. Denk bijvoorbeeld aan het laten ontstaan van een datalek. Met het oog hierop is het je zelfs toegestaan om je verwerker bepaalde instructies mee te geven. Onder meer over de wijze waarop zij de persoonsgegevens dient te verwerken of deze veilig dient te bewaren.
Wat bevat de verwerkersovereenkomst?
Het doel van een verwerkersovereenkomst is erop gericht om te voorkomen dat je verwerker de van jou ontvangen persoonsgegevens verwerkt voor eigen doeleinden. Dit maakt dat je bij voorkeur enkel verwerkers inschakelt die garanderen dat zij voldoen aan de wettelijke vereisten.
In de verwerkersovereenkomst regel je standaard een aantal onderwerpen. Zo zal je hierin onder meer beschrijven welke persoonsgegevens precies worden verwerkt. Ook geef je in de overeenkomst aan wat de duur, de aard en het doel is van de verwerking. Je zal ingaan op de categorieën personen wiens gegevens worden verwerkt en op welke wijze de verwerking precies plaatsvindt. Verder vermeld je in de overeenkomst de instructies die je als verwerkingsverantwoordelijke verstrekt aan je verwerker.
Denk hiernaast aan een geheimhoudingsplicht die geldt voor personen die in dienst zijn van of werkzaam zijn voor je verwerker; ook zij dragen immers een verantwoordelijkheid. En natuurlijk neem je in de overeenkomst op welke technische en organisatorische maatregelen zijn getroffen om de gegevensverwerking te beveiligen.
Regel dit goed!
Kortom, zorg ervoor dat je dit aspect goed regelt bij het inschakelen van verwerkers. Je wilt immers voorkomen dat persoonsgegevens op straat komen te liggen. Ook zit je met je onderneming niet te wachten op een flinke boete van de Autoriteit Persoonsgegevens. Hiernaast past het natuurlijk ook niet bij de professionaliteit die je als ondernemer wilt uitstralen. Een verwittigd mens is er twee waard!
Over de auteur: Niels Vanaken is advocaat bij Open Legal Advocaten. Hij staat met name ondernemers bij op diverse juridische terreinen.
