Waarom een verwerkersovereenkomst?
Je hebt een verwerkersovereenkomst nodig wanneer je persoonsgegevens bij een externe partij laat verwerken. Deze externe partij wordt ook wel de verwerker genoemd. Denk hierbij bijvoorbeeld aan een administratiekantoor dat de salarissen voor een bedrijf uitkeert, of de hosting provider die een website host. Wat betreft de inhoud van de verwerkersovereenkomst kun je onder meer denken aan afspraken over:
- het doel van het verwerken;
- aansprakelijkheid;
- geheimhouding;
- subverwerkers.
Is de verwerkersovereenkomst verplicht?
Als je persoonsgegevens door een externe partij laat verwerken, is het verplicht om een verwerkersovereenkomst te sluiten op basis van de Algemene Verordening Gegevensbescherming (AVG). Als de verwerkersovereenkomst ontbreekt terwijl je wel persoonsgegevens laat verwerken door een derde, loop je het risico een boete te ontvangen.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens over een persoon. Het begrip wordt erg ruim uitgelegd. Het gaat dus niet alleen maar om iemands naam, maar om elk gegeven op basis waarvan je iemand kunt identificeren. Een uniek nummer, een huisadres, een postcode, een IP-adres, het zijn allemaal persoonsgegevens. Ook alle gegevens die in een database gekoppeld zijn aan dergelijke identificerende gegevens, zijn door die koppeling persoonsgegevens. Ook gepseudonimiseerde gegevens, zoals gehashte of versleutelde gegevens, zijn persoonsgegevens.
Persoonsgegevens zijn alle gegevens over een persoon. Het begrip wordt erg ruim uitgelegd. Het gaat dus niet alleen maar om iemands naam, maar om elk gegeven op basis waarvan je iemand kunt identificeren. Een uniek nummer, een huisadres, een postcode, een IP-adres, het zijn allemaal persoonsgegevens. Ook alle gegevens die in een database gekoppeld zijn aan dergelijke identificerende gegevens, zijn door die koppeling persoonsgegevens. Ook gepseudonimiseerde gegevens, zoals gehashte of versleutelde gegevens, zijn persoonsgegevens.
Indirect identificerende gegevens
Wanneer je iemand op basis van bepaalde gegevens alleen indirect kunt identificeren, is er eveneens sprake van persoonsgegevens. Stel je bijvoorbeeld voor dat je een database hebt waarin alleen locatiegegevens staan. Dan kan het zo zijn dat die gegevens zo uniek zijn, dat er maar een heel klein groepje mensen bestaat van wie dat locatiepatroon zou kunnen zijn. Ook in een dergelijk geval is er sprake van persoonsgegevens.
Wanneer je iemand op basis van bepaalde gegevens alleen indirect kunt identificeren, is er eveneens sprake van persoonsgegevens. Stel je bijvoorbeeld voor dat je een database hebt waarin alleen locatiegegevens staan. Dan kan het zo zijn dat die gegevens zo uniek zijn, dat er maar een heel klein groepje mensen bestaat van wie dat locatiepatroon zou kunnen zijn. Ook in een dergelijk geval is er sprake van persoonsgegevens.
Bedrijfsgegevens
Ook wanneer je (alleen) gegevens verwerkt over kleine bedrijven, kan er sprake van persoonsgegevens zijn. Dat bedrijf kan namelijk ook een BV met maar een werknemer of een eenmanszaak zijn.
Voorbeelden van persoonsgegevens
Accountnummer
Adres
Afbeeldingen
Bankgegevens
Bedrijfsnaam
Beroepsactiviteiten
Bestelgeschiedenis
Bestellingsnummer
Betalingsgegevens
Bewakingsfoto
Bewakingsvideo
Bezittingen
Biometrische gegevens
BSN-nummer
BTW-nummer
Dossiergegevens
E-mailadres
Elektronische identificatiegegevens
Factuuradres
Financiële gegevens
Gebruikers ID
Gebruikersnaam
Gedragsgegevens
Gewoonten
Gezondheidsgegevens
Hypotheken
IBAN
Interesse in een product
Klantnummer
Klikgedrag
KvK nummer
Leningen
Levensstijl
Leveringadres
Locatie
Medische gegevens
Naam
NAW-gegevens
Openstaande saldo
Post/factuuradres
Profielfoto
Reisgedrag
Schulden
Social media account
Sociale contacten
Solvabiliteit
Surfgedrag
Telefoonnummer
Uitgaven
User ID
Wachtwoord
Adres
Afbeeldingen
Bankgegevens
Bedrijfsnaam
Beroepsactiviteiten
Bestelgeschiedenis
Bestellingsnummer
Betalingsgegevens
Bewakingsfoto
Bewakingsvideo
Bezittingen
Biometrische gegevens
BSN-nummer
BTW-nummer
Dossiergegevens
E-mailadres
Elektronische identificatiegegevens
Factuuradres
Financiële gegevens
Gebruikers ID
Gebruikersnaam
Gedragsgegevens
Gewoonten
Gezondheidsgegevens
Hypotheken
IBAN
Interesse in een product
Klantnummer
Klikgedrag
KvK nummer
Leningen
Levensstijl
Leveringadres
Locatie
Medische gegevens
Naam
NAW-gegevens
Openstaande saldo
Post/factuuradres
Profielfoto
Reisgedrag
Schulden
Social media account
Sociale contacten
Solvabiliteit
Surfgedrag
Telefoonnummer
Uitgaven
User ID
Wachtwoord
Wat valt er onder het “verwerken” van persoonsgegevens?
Het begrip “verwerken” wordt heel ruim uitgelegd en omvat alles wat je met persoonsgegevens zou kunnen doen. De AVG bepaalt wanneer je persoonsgegevens mag verwerken. Als de uitleg niet ruim zou zijn, zouden bepaalde handelingen buiten de reikwijdte van de AVG vallen. Dit is niet de bedoeling. Om een beter beeld te schetsen van het begrip verwerken, is hieronder een lijst met voorbeelden toegevoegd.
Voorbeelden van verwerken
Verzamelen
Vastleggen
Ordenen
Structureren
Opslaan
Bijwerken
Wijzigen
Opvragen
Raadplegen
Gebruiken
Verstrekken
Verspreiden
Ter beschikking stellen
Combineren
Afschermen
Wissen
Vernietigen
Anonimiseren
Pseudonimiseren
Voorbeelden van verwerken
Verzamelen
Vastleggen
Ordenen
Structureren
Opslaan
Bijwerken
Wijzigen
Opvragen
Raadplegen
Gebruiken
Verstrekken
Verspreiden
Ter beschikking stellen
Combineren
Afschermen
Wissen
Vernietigen
Anonimiseren
Pseudonimiseren
Ben ik de verwerkingsverantwoordelijke of de verwerker?
Wie is de verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Wat is een verwerker?
De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Wat is een verwerker?
Een verwerker onder de GDPR/AVG is een natuurlijke persoon of een rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Hoe weet je onder welke rol je valt?
Welke rol je hebt bepaalt ook je verantwoordelijkheden onder de AVG
Voorbeelden van verantwoordelijkheden van een verwerker
• Welke IT-systemen of andere methodes worden gebruikt om persoonsgegevens te verzamelen
• Hoe de persoonsgegevens opgeslagen worden
• Veiligheidsmaatregelen
• Hoe de persoonsgegevens worden overdragen tussen partijen
• Hoe de persoonsgegevens worden overdragen omtrent een individu
• De manier waarop de persoonsgegevens worden verwijderd
Voorbeelden van verantwoordelijkheden van een verwerkingsverantwoordelijke
• Het verzamelen van persoonsgegevens en de grondslag hiervoor
• Welk type persoonsgegevens worden verzameld
• Reden waarom de gegevens worden verzameld
• Over welke personen de gegevens worden verzameld
• Of de gegevens worden vrijgegeven aan derde partijen
• Of uitzonderingen van toepassing zijn met betrekking tot individuele rechten van personen
• Bewaartermijn van de persoonsgegevens
• Mogelijkheid om gegevens te wijzigen (updaten, verwijderen)
Je kan ook beide zijn
In dit geval zal je waarschijnlijk verwerker en verantwoordelijke zijn over twee verschillende sets persoonsgegevens of twee verschillende sets van verwerkingen. Een hostingbedrijf (duidelijk een verwerker ten aanzien van de persoonsgegevens die zijn klanten op hun websites laten hosten) heeft ook een eigen klantenadministratie, waarin persoonsgegevens zijn opgenomen. Ten aanzien van die gegevens en de verwerking daarvan, is het hostingbedrijf de verantwoordelijke.
Wat is een subverwerker?
Een subverwerker is een partij die namens de verwerker persoonsgegevens verwerkt voor de verantwoordelijke. Dit is bijvoorbeeld het geval wanneer verwerkers andere partijen inschakelen voor de uitvoering van de verwerking.
Voorbeeld
Je gebruikt een hostingpartij om je website te hosten. Deze hostingpartij gebruikt vervolgens cloudleveranciers om de servers aan te kunnen bieden. Deze cloudleveranciers zijn de subverwerkers.
Voorbeeld
Je gebruikt een hostingpartij om je website te hosten. Deze hostingpartij gebruikt vervolgens cloudleveranciers om de servers aan te kunnen bieden. Deze cloudleveranciers zijn de subverwerkers.
Wanneer mag je een subverwerker inschakelen?
Als verwerker mag je alleen subverwerkers inschakelen wanneer je daar toestemming voor hebt gekregen van de verantwoordelijke.
Als verantwoordelijke mag je bepalen of je verwerker(s) wel of niet subverwerkers mogen inschakelen.
Deze toestemming neem je op in je verwerkersovereenkomst.
Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn gegevens over iemands ras, politieke opvattingen, religieuze overtuiging, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens, gegevens over seksueel gedrag of seksuele geaardheid, of gegevens over iemands strafrechtelijke veroordelingen.
Uitleg
Bepaalde gegevens zijn zo gevoelig, dat ze extra goed beschermd moeten worden. Om die reden is in de AVG een bijzondere categorie van persoonsgegevens opgenomen. De eisen om deze bijzondere persoonsgegevens te mogen verwerken, zijn strenger dan de eisen om 'gewone' persoonsgegevens te verwerken. In verreweg de meeste gevallen heb je toestemming van de betrokkene nodig om deze persoonsgegevens te mogen verwerken.
Bepaalde gegevens zijn zo gevoelig, dat ze extra goed beschermd moeten worden. Om die reden is in de AVG een bijzondere categorie van persoonsgegevens opgenomen. De eisen om deze bijzondere persoonsgegevens te mogen verwerken, zijn strenger dan de eisen om 'gewone' persoonsgegevens te verwerken. In verreweg de meeste gevallen heb je toestemming van de betrokkene nodig om deze persoonsgegevens te mogen verwerken.
Foto's
Wanneer je uit bepaalde informatie bovengenoemde gegevens kunt afleiden is er al sprake van de verwerking van bijzondere gegevens. Foto’s zijn strikt genomen bijzondere persoonsgegevens omdat ze bijvoorbeeld iemands ras zouden kunnen aantonen. Het ligt echter aan de manier waarop je de foto’s gebruikt of de Autoriteit Persoonsgegevens het gebruik als gebruik van een bijzonder persoonsgegevens zal zien. Foto’s gebruiken om onderscheid te maken naar ras mag in ieder geval niet.
Wanneer je uit bepaalde informatie bovengenoemde gegevens kunt afleiden is er al sprake van de verwerking van bijzondere gegevens. Foto’s zijn strikt genomen bijzondere persoonsgegevens omdat ze bijvoorbeeld iemands ras zouden kunnen aantonen. Het ligt echter aan de manier waarop je de foto’s gebruikt of de Autoriteit Persoonsgegevens het gebruik als gebruik van een bijzonder persoonsgegevens zal zien. Foto’s gebruiken om onderscheid te maken naar ras mag in ieder geval niet.
Mag ik bijzondere gegevens verwerken?
Volgens de AVG mag je in beginsel bijzondere gegevens niet verwerken. Er zijn echter een beperkt aantal uitzonderingen geformuleerd. Deze zijn:
Volgens de AVG mag je in beginsel bijzondere gegevens niet verwerken. Er zijn echter een beperkt aantal uitzonderingen geformuleerd. Deze zijn:
- Uitdrukkelijke toestemming
- Bescherming van vitale belangen van de betrokkene
- Verwerkingen door instanties actief op politiek, levenbeschouwelijk, godsdienstig of vakbondsgebied
- Gegevens die kennelijk openbaar zijn gemaakt
- Instelling, uitoefening of onderbouwing van een rechtsvordering
- Volkenrechtelijke verplichting
- Verwerking door de AP
- Verwerking in aanvulling op de verwerking van persoonsgegevens van strafrechtelijk aard
- Wetenschappelijk onderzoek, historisch onderzoek en statistische doeleinden
Uitzonderingen
Biometrische gegevens mogen worden verwerkt als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Gezondheidsgegevens mogen onder beperkte uitzonderingsgronden verwerkt worden. Lees daar hier meer over.
Wat moet ik doen als mijn betalingsdienstverlener geen verwerkersovereenkomst wil tekenen?
Sommige betalingsdienstverleners doen erg moeilijk over het sluiten van een verwerkersovereenkomst. Anderen maken hier geen punt van en hebben zelfs hun eigen verwerkersovereenkomsten. Wij zijn ervan overtuigd dat een betaaldienstverlener onderaan de streep een verwerker is, omdat zij uiteindelijk niet bepalen wanneer en waarom er een betaling via hun platform plaatsvindt. Daar kunnen zij echter anders over denken. De enige optie die je dan nog hebt is met je voeten stemmen, door indien mogelijk naar een andere partij te gaan.
De meest gestelde vragen over een verwerkersovereenkomst
De grote verwerkers op een rij?
Vanaf 25 mei ben je wettelijk verplicht om een verwerkersovereenkomst te hebben met alle externe partijen d... lees meer
Wat moet ik doen als mijn betalingsdienstverlener geen verwerkersovereenkomst wilt tekenen?
Sommige betalingsdienstverleners doen erg moeilijk over het sluiten van een verwerkersovereenkomst. Anderen... lees meer
Ben ik verantwoordelijke of verwerker?
Wie is de verwerkingsverantwoordelijke? De verwerkingsverantwoordelijke is een natuurlijke persoon of rech... lees meer
Wat is een subverwerker?
Een subverwerker is een partij die namens de verwerker persoonsgegevens verwerkt voor de verantwoordelijke.... lees meer
Wat valt er onder verwerken van persoonsgegevens?
Het begrip “verwerken” wordt heel ruim uitgelegd en omvat dus alles wat je met persoonsgegevens zou kunnen... lees meer
Wat zijn bijzondere persoonsgegevens?
Bepaalde gegevens zijn zo gevoelig, dat ze extra goed beschermd moeten worden. Om die reden is in de AVG ee... lees meer
Wie gingen je voor?
VraagHugo is echt een 'game changer'. Ik heb meteen het abonnement genomen.
Arnoud Haverlag
Co-founder van startup studio Backspace
Ook voor startende ondernemers een uitkomst. Met een paar klikken heb je een kant-en-klaar juridisch document. Snel, eenvoudig en voor een zeer acceptabel bedrag.
Lennard Hoogenraad
Founder VD8 ventures
VraagHugo: verrassend eenvoudig, voordelig en to-the-point. Ik had niet verwacht dat kwalitatief juridisch advies zo toegankelijk kon zijn.
Patrick Roozeman
Algemeen Directeur MultiTankCard
