De verwerkersovereenkomst

Edwin.Somhorst · 14 december 2017 om 12:22

Originally published at: https://communityblog.perfectview.nl/2017/12/14/de-verwerkersovereenkomst/

De verwerkersovereenkomst Het opstellen van een verwerkersovereenkomst (voorheen ook wel bewerkersovereenkomst genoemd) dient ertoe te waarborgen dat de verplichtingen die vanuit de wet (Wbp, artikel 14, AVG, artikel 28) op de verwerkingsverantwoordelijke rusten, ook door de verwerker worden nageleefd. Daartoe dienen in de verwerkersovereenkomst afspraken en maatregelen te staan die de verwerkingsverantwoordelijke door de verwerker genomen wil hebben.…

andrew · 18 december 2017 om 15:54

Edwin,

Is het wijsheid om net als de algemene voorwaarden een standaard verwerkers overeenkomst mee te sturen bij de offerte? Omdat de offerte aangeeft wat je gaat leveren?

met vriendelijke groet,
Andrew van der Haar

Edwin.Somhorst · 20 december 2017 om 11:58

Andrew,

Strikt genomen is helderheid over de verwerkersovereenkomst pas van toepassing / noodzaak bij het sluiten van een order.

Maar het is absoluut niet verkeerd om bij de offerte al duidelijkheid te bieden over de verwerkers overeenkomst die aangeboden gaat worden. Een van de aandachtspunten in de AVG is transparantie, hoe eerder en beter een klant (verwerkingsverantwoordelijke) weet welke afspraken / garanties hem geboden worden des te beter.

Ik verwacht dat volgend jaar de discussie voor het sluiten van een deal niet enkel om de inhoud en prijs van de deal gaat maar ook om de te leveren garanties op het gebied van veiligheid.

In plaats van mee sturen zou natuurlijk een verwijzing naar de standaard verwerkers overeenkomst op de eigen website een prima oplossing zijn.

met vriendelijke groeten,
Edwin Somhorst

andrew · 12 januari 2018 om 10:50

@Edwin.Somhorst bedankt voor je uitleg. Topics die ik niet voorbij zie komen is dat veel bedrijven zich alleen focussen op het feit dat ze een verwerkersovereenkomst met hun klanten afsluiten, maar het is natuurlijk ook belangrijk om dit met je leveranciers te doen.

Nu schrijf je ook dat het auditable moet zijn. Hoe zouden we in CRM dit kunnen faciliteren. Ik zag namelijk onlangs dat een relatie van mij een privacy map aan het maken. Voorin een log van wie hij allemaal een verwerkers overeenkomst heeft. Dat is in het digitale tijdperk wel erg achterhaald! Ik zat te denken om dan deze als taak met getekende bijlage toe te voegen en die taak in een wachtrij Verwerkersovereenkomst. Als er een auditer komt kan je in een keer de wachtrij laten zien!

Edwin.Somhorst · 12 januari 2018 om 14:55

@andrew Een taak (met daaraan gekoppelde relevante documenten) in een wachtrij is zeker een mooie oplossing. Je kunt hiermee zelfs 2 doelen bereiken:

zoals je al aangeeft een perfect overzicht dat aan de auditer getoond kan worden
maar ook een lijst voor je eigen periodieke review van de overeenkomsten.
Door de opvolgdatum te benutten kun je periodiek (jaarlijks) de taken in de wachtrij beoordelen:
- Is informatie nog up to date
- Maak je nog gebruik van de verwerker,
- Sluit de overenkomst nog aan bij de verwerkingen
- Etc.
Door deze beoordeling in een notitie vast te leggen bouw je meteen een historie van je inspanningen op.

f.spreij · 15 februari 2018 om 15:00

Hoe zit het met deze verwerkersovereenkomst in relatie tot perfectview? Ik heb nog niets voorbij zien komen, maar we zullen deze tzt wel moeten sluiten niet?

Edwin.Somhorst · 16 februari 2018 om 08:59

Op dit moment kennen we al bewerkersvoorwaarden voor PerfectView CRM Online waarin we aangeven hoe wij onze verwerkingen uitvoeren in het kader van de WBP. We zijn dit document nu aan het aanpassen voor de AVG en zullen dit binnenkort beschikbaar stellen als verwerkersvoorwaarden voor al onze gebruikers.

andrew · 26 maart 2018 om 08:12

Stelling:
Wat is nu wijsheid voor bijv. een bakker op de hoek mbt verwerkersovereenkomst?

Hij levert elke week 10 gebakjes aan een kantoor op de hoek. Het bedrijf stuurt hij 1 x per maand een factuur. Zijn klant geeft aan dat hij het bedrag wel met incasso mag afschrijven. De klant vindt dat wel makkelijk. Daarom heeft hij natuurlijk NAW gegevens nodig van het bedrijf en bankrekeningnr. De factuur gaat naar de afdeling administratie en de bankgegevens zijn van een bedrijf.

Stelling 1: Hier zijn geen persoonsgegevens bij betrokken. Hij verwerkt geen gegevens en heeft geen verwerkersovereenkomst nodig. In geval van datalekken moet hij wel melding maken, bijv. als zijn systeem is gehackt.

Stelling 2: De bakker moet bij elke bestelling een verwerkersovereenkomst sturen. Hij heeft immers gegevens van de klant en de AVG zegt dat je dan aan je klant moet melden welke gegevens je opslaat en waarvoor?

Stelling 3: De bakker hoeft geen verwerkersovereenkomst af te sluiten. Bakkers vallen niet onder de AVG. Hij kan toch niet controleren wie de gebakjes op eten?

Edwin.Somhorst · 27 maart 2018 om 15:09

Mij lijkt het volgende wijsheid:

Indien de bakker met een bedrijf de afspraak maakt om iedere maand gebakjes te leveren is dit een afspraak tussen twee bedrijven met de adres- en financiële gegevens van de bedrijven. Er zouden dus geen persoonsgegevens een rol spelen, er is dan ook geen noodzaak voor een verwerkersovereenkomst.

Maar meer praktisch zou ik het volgende aanraden (niet alleen voor de bakker, maar ook voor de schilder en stukadoor):

Stel er zouden wel gegevens van personen een rol spelen omdat b.v. de verantwoordelijke persoon vermeld staat als contactpersoon/opdrachtgever namens het bedrijf. Dan zou een praktisch werkwijze zijn om een opdrachtbevestiging (voor de te leveren goederen / diensten) op te stellen waarin verwezen wordt naar de (online) verwerkersvoorwaarden en (online) privacy statement waaronder de persoonsgegevens verwerkt worden.
De opdrachtbevestiging + verwerkersvoorwaarden + privacy statement vormen dan een rechtsgeldige overeenkomst waar de voorwaarden onlosmakelijk onderdeel van vormen.
Eenmaal deze overeenkomst gesloten te hebben, blijft deze gelden voor de duur van de overeenkomst om maandelijks gebak te leveren en, hoeft niet voor iedere bestelling een nieuwe overeenkomst opgesteld te worden.

De bakker voldoet dan geheel aan zijn zorgplicht om zijn klanten compleet te informeren over zijn aanpak van de privacy wetgeving.

Het melden van datalekken is een op zich staande plicht. Of er nu wel / niet verwekersovereenkomsten gesloten zijn met klanten speelt hier geen rol. De vraag of er persoonsgegevens gelekt zijn vormt het startpunt van de vraag of er gemeld dient te worden.

Dat bakkers niet onder AVG vallen zal nooit mogelijk zijn, de AVG is een (inter)nationale wet en geldt voor iedere organisatie in de EU.

Nadine · 24 april 2018 om 09:57

Is dit document inmiddels beschikbaar?
Ik ben op dit moment bezig om onze verwerkers in kaart te brengen.

anne.hopman · 25 april 2018 om 12:47

Hoi Nadine,

Zojuist sprak ik met Edwin en hij geeft aan dat de conceptversie nu bij de jurist ligt om na te kijken. De overeenkomst wordt in ieder geval deze maand nog beschikbaar.

Angela_Galle · 2 mei 2018 om 13:23

Beste Anne, Edwin,
Het is nog 23 dagen tot 25 mei … Kunnen jullie al het e.e.a. online zetten, zodat wij kunnen lezen wat de acties zijn om een goede overeenkomst met jullie te bereiken voor de AVG?
Alvast bedankt,
groet,
Angela Gallé

Ingrid.Peters · 2 mei 2018 om 13:59

Het begint inderdaad al op te schieten!

@f.spreij, @Nadine en @Angela_Galle. Begin volgende week wordt een mailing gestuurd aan de algemene contactpersonen met de documentatie. Ik zal dan ook e.a. online zetten.

Angela_Galle · 2 mei 2018 om 14:33

Dank voor je snelle reactie, Ingrid, we houden ons aanbevolen!
Groet,
Angela

Ingrid.Peters · 7 mei 2018 om 08:40

Zoals beloofd bij deze de linkjes naar de verschillende documenten:

Nadine · 8 mei 2018 om 08:43

Bedankt Ingrid.
Ga ze doorlezen.