Met je team in gesprek

Verwerkersovereenkomst

Wat als ik een externe partij wil inschakelen voor mijn onderwijs, onderzoek of bedrijfsvoering? De AVG verplicht ons goede afspraken te maken met derden omtrent de zorgvuldigheid van het verwerken van persoonsgegevens en het vaststellen van verantwoordelijkheden.

Dergelijke afspraken dienen juridisch vastgelegd te worden, normaal gesproken door middel van een overeenkomst. De soort overeenkomst is afhankelijk van de aard van de opdracht of samenwerking. Specifiek voor onderzoek zijn diverse modellen beschikbaar: opdrachtovereenkomst, sponsorovereenkomst, samenwerkingsovereenkomst en consortiumovereenkomst.

Zie de pagina onderzoeksovereenkomsten voor meer informatie.

Aanvullende overeenkomst

Naast een hoofdovereenkomst is het in bepaalde gevallen ook vereist om een aanvullende overeenkomst op te stellen, zoals een verwerkersovereenkomst, gezamenlijk verwerkingsverantwoordelijken overeenkomst of gegevensuitwisselingsovereenkomst.

Om je te helpen met het afsluiten van deze overeenkomsten, zijn er verschillende modellen opgesteld en is een procedure gemaakt. Zie de modellen en de procedure op de pagina Beleid en procedures. Daarnaast vind je hieronder in de uitklapvensters een korte toelichting op de belangrijkste onderwerpen en vragen.

Wat is een verwerkingsverantwoordelijke, verwerker en subverwerker?

Een verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke bepaalt zelf doel en middelen van de verwerking van persoonsgegevens. Tilburg University zal bij de meeste verwerkingen van persoonsgegevens verwerkingsverantwoordelijke zijn.

Een verwerker

Een verwerker verwerkt in opdracht van de verwerkingsverantwoordelijke persoonsgegevens. Indien een externe organisatie zelf het doel/aanvullende doelen van de verwerkingen bepaalt is de externe partij zelf verwerkingsverantwoordelijke.

Een subverwerker

Indien een verwerker zelf weer gebruikt maakt van een dienst van een derde dan is deze derde een subverwerker.

Voorbeeld

Tilburg University laat de salarisadministratie verzorgen door een externe organisatie B. Deze externe organisatie maakt hierbij gebruik van haar eigen software, maar deze wordt gehost bij provider C. In deze casus is Tilburg University de verwerkingsverantwoordelijke, organisatie B de verwerker en provider C de subverwerker.

Wanneer is Tilburg University verwerkingsverantwoordelijke?

Tilburg University is verwerkingsverantwoordelijke wanneer zij:

  • zeggenschap heeft over de verwerking, en de verwerker de instructies van de universiteit moet opvolgen;
  • de doeleinden bepaalt;
  • de opdracht aan een derde heeft gegeven tot de verwerking van persoonsgegevens.

De verwerker kan nooit keuzes maken met betrekking tot de soort of hoeveelheid persoonsgegevens die voor Tilburg University worden verwerkt. De verwerker is een (zelfstandige) derde partij die slechts persoonsgegevens verwerkt voor de doeleinden van de verwerkingsverantwoordelijke.

Wanneer is er een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst is nodig wanneer bij de verwerking van persoonsgegevens Tilburg University als wettelijke verwerkingsverantwoordelijke voor de verwerking een ander bedrijf inschakelt, die als verwerker optreedt. Dit is een wettelijke verplichting die voortvloeit uit de AVG. Met een verwerkersovereenkomst sluit de Universiteit uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. De universiteit schakelt alleen verwerkers in die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. In de overeenkomst leg je onder meer het volgende vast:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  • Het soort persoonsgegevens.
  • De categorieën van betrokkenen.
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.

De data representative kan helpen om vast te stellen of een verwerkersovereenkomst nodig is.

Als Tilburg University voor zichzelf persoonsgegevens binnen de organisatie verwerkt, is er geen verwerkersovereenkomst nodig.

Wanneer is een gezamenlijk verwerkingsverantwoordelijken overeenkomst nodig?

Wanneer twee of meer partijen gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens (en dus gezamenlijk doel en middelen van de verwerking bepalen), dan ben je verplicht om bepaalde afspraken hierover juridisch vast te leggen. Dat kan eventueel in een hoofdovereenkomst, maar soms is het makkelijker om dat apart vast te leggen in een gezamenlijk verwerkingsverantwoordelijken overeenkomst. Ook hier kan de data representative helpen om vast te stellen wat nodig is.

Wat moet je doen voor het afsluiten van een 'privacy'-overeenkomst?

Er is een procedure voor het afsluiten van de verschillende overeenkomst waarin de verschillende stappen zijn uitgelegd die je moet doorlopen om tot een goede 'privacy'-overeenkomst te komen.

Het advies is om altijd de Tilburg University modelovereenkomst van de procedures en modellen-pagina te gebruiken. Dit omdat:

  • deze gebaseerd is op het model van SURF;
  • de overeenkomst getoetst is door onze specialisten;
  • we hiermee kunnen waarborgen dat de overeenkomst voldoet aan de verplichtingen uit de AVG.

Zeker wanneer het gaat over de relatie verwerkingsverantwoordelijke-verwerker en Tilburg University de verwerkingsverantwoordelijke is, kun je hiermee schermen op het moment dat de verwerker een eigen model wil gebruiken.

Het is echter mogelijk (met name bij grote partijen) dat een andere partij zijn eigen overeenkomst verplicht stelt of bepaalde clausules in de overeenkomst wil veranderen. Dit brengt risico’s met zich mee en dient daarom zorgvuldig beoordeeld te worden. Meer informatie hierover vind je in de aangehaalde procedure.

Internationaal (doorgifte)

Los van de eis van waarborgen in de overeenkomst en verwerkersovereenkomst met de derde partij vereist de AVG ook een passend nationaal beschermingsniveau bij doorgifte van persoonsgegevens naar andere landen. Het (laten) verzamelen/verwerken van persoonsgegevens in een derde land valt ook onder doorgifte. Derde landen zijn alle niet-EER landen (die dus niet onder de AVG vallen).

Is er geen passend nationaal beschermingsniveau dan kan de doorgifte nog plaatsvinden door het bieden van passende waarborgen en op voorwaarde dat betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen kunnen beschikken.

Van een aantal landen heeft de Europese Commissie geoordeeld dat zij een passend beschermingsniveau hebben. De meest actuele lijst vind je op de site van de Autoriteit Persoonsgegevens.

De meest gangbare methode is om gebruik te maken van een ongewijzigd EU modelcontract (de zogenaamde Standard Contractual Clauses).

In het beleid Privacy & Bescherming Persoonsgegevens tref je enkele uitzonderingen aan.