Wat moet er in een verwerkersovereenkomst staan?

In de verwerkersovereenkomst moeten de gemaakte afspraken en maatregelen duidelijk en concreet zijn. Een verwerkersovereenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie in te vullen, zoals bijvoorbeeld het vastleggen van bewaartermijnen.

De volgende onderwerpen vormen de basis voor een goede verwerkersovereenkomst.

1.    Algemene beschrijving

  • Beschrijf (in het kort) de opgedragen werkzaamheden aan de verwerker (toelichting: verwijs naar de onderliggende overeenkomst).
  • Beschrijf de rol van de partijen (verwerker/verwerkingsverantwoordelijke) (toelichting: de verwerking vindt (in principe) plaats op basis van de instructie van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken).
  • Beschrijf duidelijk de partijen in de overeenkomst (denk hierbij aan de rechtsvorm etc.).
  • Neem definities op in de verwerkersovereenkomst (toelichting: denk aan de uitleg van begrippen als: verwerker, datalek, bijzondere persoonsgegevens, derde, betrokkene, meldplicht datalekken etc.).

2.    Scope of onderwerp van de overeenkomst

Leg vast op welke specifieke verwerkingen de verwerkersovereenkomst van toepassing is, dus welke persoonsgegevens er precies verwerkt gaan worden.

3.    Geheimhouding

Leg vast dat personen die in dienst zijn, of die in opdracht van de verwerkingsverantwoordelijke handelen (sub-verwerkers), een geheimhoudingsplicht hebben.

4.    Beveiliging

  • Leg vast dat de verwerker passende technische en organisatorische maatregelen treft om de verwerking te beveiligen (toelichting: voorbeelden hiervan zijn; pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten. Concrete maatregelen zijn opgenomen in de bijlage).
  • Leg vast welke beveiligingsmaatregelen verwerker neemt.
  • Leg vast dat bij verandering van beveiligingsmaatregelen de verwerker dit aan de zorgorganisatie meldt.
  • Leg vast dat de verwerker aantoonbaar voldoet aan de belangrijkste kwaliteitsnormen die in de zorg van toepassing zijn (ISO27001/ NEN7510, 7512 en 7513).

5.    Inschakelen van derden (sub-verwerkers)

Leg vast dat de verwerker toestemming nodig heeft om derden in te mogen schakelen (toelichting: de verwerker legt aan een sub-verwerker in een sub-verwerkersovereenkomst dezelfde verplichtingen op als de verwerker).

6.    Privacyrechten

Leg vast dat de verwerker de zorgorganisatie helpt als betrokkenen een beroep doen op hun privacyrechten (toelichting: denk hierbij aan het recht op inzage, correctie, vergetelheid en dataportabiliteit).

7.    Bewaartermijnen, duur en beëindiging van de overeenkomst

  • Leg vast aan welke bewaartermijnen de verwerker moet voldoen (toelichting: denk hierbij ook aan eventuele wettelijke bewaartermijnen).
  • Leg vast dat de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of terugstuurt (toelichting: denk hierbij ook aan het verwijderen van kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren).
  • Leg vast wanneer de overeenkomst in werking treedt en wanneer de overeenkomst eindigt.
  • Leg vast wie de kosten draagt voor vernietiging/teruggave van persoonsgegevens bij beëindiging van de overeenkomst.

8.    Aansprakelijkheid en vrijwaring

Leg vast wat de aansprakelijkheden en eventuele vrijwaringen inhouden.

9.    Overige verplichtingen

Leg vast welke overige verplichtingen er nog zijn waarbij de verwerker de zorgorganisatie zal helpen (toelichting: denk hierbij aan het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging).

10.    Meldplicht datalekken

  • Leg vast dat de verwerker de zorgorganisatie zo snel mogelijk informeert over ieder beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of mogelijk toegankelijk zijn geworden voor onbevoegden.
  • Leg vast dat de verwerker maatregelen treft om de gevolgen van het incident te beperken en om volgende incidenten te voorkomen.
  • Leg vast dat de verwerker een maximale termijn van 24 uur/48 uur heeft om een datalek te melden (of - als dat mogelijk is - zo snel mogelijk). Ook is vastgelegd hoe de verwerker ondersteunt in geval van een datalek.
  • Leg vast wie de melding van het datalek doorzet aan de AP.

11.    Overdraagbaarheid verwerkersovereenkomst

Leg vast dat het zonder toestemming van de verwerkingsverantwoordelijke niet is toegestaan om de overeenkomst over te dragen aan een andere partij.

12.    Audits

Leg vast dat verwerker meewerkt aan audits of die van een derde partij. Spreek af dat de verwerker alle relevante informatie beschikbaar stelt om te kunnen controleren of verwerker zich houdt aan de hierboven genoemde verplichtingen.

13.    Overig

Leg eventuele overige punten vast (toelichting: denk aan wijzigingsbepalingen voor wijziging wetgeving of omstandigheden, toepasselijk recht en bepaal welke rechter bevoegd is).

Ga in overleg als de verwerkersovereenkomst niet voldoet aan bovenstaande uitgangspunten en treedt hierover in overleg met de verwerker. Het is aan te bevelen om de verwerkersovereenkomst dan aan te passen of een nieuwe op te stellen. Hiervoor kan het BOZ-model worden gebruikt. Dit model is ontwikkeld in nauwe samenwerking met zorgorganisaties, leveranciers en deskundigen.