AVG-proof: denkt u ook aan de verwerkersovereenkomsten?

06-02-2019

De Autoriteit Persoonsgegevens (AP) zit niet stil. Zo legde zij in november 2018 aan Uber een boete op van 600.000 euro voor het overtreden van de meldplicht datalekken in 2016. Deze boete baseerde de AP (nog) op de oude wetgeving (de Wbp).

Sinds de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is, kunnen deze boetes nog hoger oplopen. Privacy autoriteiten kunnen bij niet-naleving van de AVG boetes tot 20 miljoen euro of 4% van de wereldwijde omzet van een bedrijf opleggen. Deze boetebevoegdheid is geen dode letter. Zo werd op 21 januari 2019 bekend dat de Franse privacywaakhond (CNIL) op grond van de AVG een boete van 50 miljoen euro heeft opgelegd aan Google.

Reden genoeg om ervoor te zorgen dat uw bedrijf AVG-proof is!

De AP en verwerkersovereenkomsten
De AP heeft sinds datum inwerkingtreding AVG al meerdere steekproeven gehouden om te kijken in hoeverre organisaties zich houden aan de nieuwe regels. Ook recent nog, wat blijkt uit het bericht op de site van de AP dat zij op 16 januari 2019 op haar website plaatste. In dit bericht meldde zij dat zij dertig private organisaties controleert op haar verwerkersovereenkomsten.

In voorkomende gevallen moeten organisaties die werkzaamheden uitbesteden deze afspraken vastleggen, in de meeste gevallen gebeurt dat in zogenoemde verwerkersovereenkomsten. Het is met name van belang een goede verwerkersovereenkomst te hebben, omdat organisaties die de persoonsgegevens verstrekken verantwoordelijk blijven voor de bescherming van de persoonsgegevens.

Waaraan dient een verwerkersovereenkomst in ieder geval te voldoen?
In de verwerkersovereenkomst dient in ieder geval te staan hoe de bescherming en verwerking van persoonsgegevens is geregeld, zoals:

  • welke soort gegevens worden verwerkt, de aard en het doel van de verwerking, hoe lang de persoonsgegevens worden verwerkt;
  • dat de verwerking alleen plaatsvindt op instructie van uw bedrijf (zijnde verwerkingsverantwoordelijke);
  • dat verwerking van persoonsgegevens buiten de EER niet is toegestaan zonder toestemming van uw bedrijf (zijnde verwerkingsverantwoordelijke);
  • toestemming voor het inschakelen van sub-verwerkers;
  • verplichtingen en verantwoordelijkheden van de verwerker bij datalekken en ten aanzien van beveiliging/toegang van persoonsgegevens.

De uitkomsten van het onderzoek van de AP worden later dit jaar verwacht.

Dit artikel is ook te vinden in het dossier AVG

Van onze partners

Privacy op de werkvloer

→ Lees meer

Privacywetgeving in de opsporing: de Wpg voor BOA's

→ Lees meer

Privacy-aspecten in fusies en overnames in vogelvlucht

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer