AVG Stap 3: Afspraken

Vraag verwerkersovereenkomsten aan, of stel ze op

Je moet goede afspraken maken met alle partijen die namens jouw bedrijf persoonsgegevens verwerken, zoals bijvoorbeeld je hosting bedrijf, boekhouder en e-mailmarketing software (zoals MailChimp). Die afspraken staan in de Verwerkersovereenkomst. De meeste grotere verwerkende partijen zijn voorbereid op de AVG en hebben die overeenkomst al voor je klaar staan. In de vorige wetgeving heette dit een ‘bewerkersovereenkomst’. Als je die nog hebt dan moet je nagaan of het ook AVG-proof is.

Wanneer jij gegevens voor anderen verwerkt, bijvoorbeeld doordat je voor een klant nieuwsbrieven maakt en verzendt, dan moet je zelf een verwerkersovereenkomst maken. Zowel degene die de gegevens uit handen geeft als degene die de gegevens ontvangt en gebruikt zijn verantwoordelijk om dat op een juiste manier te doen.

We hebben het Verwerkingsregister al besproken bij AVG Stap 2: dat is jouw overzicht van welke gegevens je hoe verwerkt. Daarin neem je dus ook de partijen op met wie je gegevens deelt, en met wie je een verwerkersovereenkomst afsluit.

De verwerkersovereenkomst moet de volgende onderdelen bevatten

• Wie is de verantwoordelijke en wie is de bewerker?
• Om welke persoonsgegevens gaat het?
• Welke verwerking mag de derde partij uitsluitend doen? (opslaan, vernietigen, …)
• Waar worden de persoonsgegevens opgeslagen? (binnen of buiten Europa)
• Welke beveiligingsmaatregelen worden genomen om datalekken te voorkomen?
• Welke mogelijkheden biedt de derde partij tot toezicht op naleving?
• Wat zijn de kosten die de derde partij in rekening voor medewerking aan toezicht?
• Welke procedure wordt gevolgd bij de constatering van een datalek?
• In hoeverre is de derde partij aansprakelijk voor door u geleden schade door een datalek?
• Is de derde partij voldoende verzekerd voor deze aansprakelijkheid jegens u?
• Welke mate en duur van geheimhouding is van toepassing op de gegevens?
• Mag de derde partij zelf ook onderaannemers inschakelen voor verwerking?
• Worden de gegevens na afloop terug geleverd of vernietigd?

De verwerkersovereenkomst is geldig in combinatie met een Dienstovereenkomst.

Op de site van Rijksoverheid vind je voorbeelden van verwerkersovereenkomsten, apart voor bedrijven in de zorg, voor IT bedrijven en voor overige bedrijven. 

https://www.rijksoverheid.nl/documenten/publicaties/2018/01/25/model-verwerkersovereenkomst-avg

Hoe je een verwerkersovereenkomst afsluit met Google, leg ik uit bij stap 5. 

Hoe je een verwerkersovereenkomst afsluit met MailChimp, leg ik uit bij stap 8. 

De stappen die je als ZZP of MKB moet zetten om AVG proof te worden

• Stap 1: Begrip - Lees: AVG uitgelegd in begrijpelijke taal
• Stap 2: Overzicht - Maak je verwerkingsregister
• Stap 3: Afspraken - Vraag verwerkersovereenkomsten aan, of stel ze op
• Stap 4: Veilige site - Vraag het SSL certificaat aan en zorg voor up-to-date techniek
• Stap 5: Tracking op je site - Duik in je cookies en in Google Analytics 
• Stap 6: Formulieren - Check de formulieren die je op je site gebruikt
• Stap 7: Privacyverklaring - Leg aan je klanten uit hoe je met de gegevens om gaat
• Stap 8: Nieuwsbrief - Maak je nieuwsbrief, de aanmeldprocedure en je huidige maillijst AVG-proof
• Stap 9: Klantdossiers - Zorg voor een passende beveiliging
  
  
• Verder lezen: AVG linkjeslijst: pdf met klikbare linkjes naar nuttige informatie