Wat moet er in de verwerkersovereenkomst van een vereniging staan?

Screenshot-2018-2-27 Gratis afbeelding op Pixabay - Geheim, Boven, Stempel, Spy, Leger

De verwerkersovereenkomst AVG. Wanneer heb je hem nodig, en wat moet erin staan?

Wanneer is een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst is nodig als de organisatie persoonsgegevens laat verwerken door een ander. Dat zal al snel het geval zijn. Denk aan het uitbesteden van de ledenadministratie, online administratiepakketten voor leden, machtigingen voor incasso, het verzenden van nieuwsbrieven door een ander, het opslaan van informatie in de cloud. Het zijn allemaal toepassingen waar verenigingen en stichtingen steeds meer gebruik van maken. Dan is dus ook een verwerkersovereenkomst nodig.

Inhoud van de verwerkersovereenkomst

Degene die de persoonsgegevens uitbesteed is de verantwoordelijke, degene die de gegevens verwerkt, is verwerker. De verantwoordelijke dient ervoor te zorgen dat de gemaakte afspraken worden nageleefd. De verplichting om afspraken vast te leggen geldt voor beide partijen.

Wat in elk geval in de overeenkomst moet worden geregeld:

  • Rechten en plichten van verantwoordelijke en verwerker
  • Welke beschermingsmaatregelen worden genomen
  • Wat is een passend beschermingsniveau
  • Voor welk doel de gegevens mogen worden verwerkt
  • Aan welke aanwijzingen moet verwerker zich houden
  • Wie meldt datalekken
  • Wie is aansprakelijk voor schade bij datalekken
  • Audits door verwerkingsverantwoordelijke bij verwerker
  • Of er subverwerkers mogen worden ingeschakeld en het doorgeven van rechten en plichten aan deze subverwerkers
  • Teruggave of vernietiging gegevens bij beëindiging overeenkomst

Verenigingen vragen mij vaak om een eenvoudige overeenkomst. Maar een korte overeenkomst van 1 pagina voldoet niet. Dan zijn zaken maar heel globaal geregeld en dan heb je eigenlijk niets geregeld. Je hebt de overeenkomst juist nodig op het moment dat er een datalek ontstaat of als iemand klachten heeft over het privacybeleid. Dan moet helder zijn wie wat doet, hoe de kosten en aansprakelijkheid zijn verdeeld, en of er aan rechten en plichten voldaan is. Dat kan invloed hebben op de aansprakelijkheid van de vereniging. Om dat te voorkomen is toch een uitgebreidere overeenkomst nodig.

Verwerkers weten dat zij met elke klant een overeenkomst moeten sluiten. Vaak zullen zij dan ook degenen zijn die de vereniging of stichting een contract voorleggen. Maar deze zijn altijd in hun eigen voordeel opgesteld en dus in het nadeel van de vereniging. Bij een datalek draai je dan op voor de kosten. Je kunt dus beter zelf het initiatief nemen om een verwerkersovereenkomst af te sluiten, eentje die bij jouw vereniging past.

Krijg je een contract voorgelegd van een ander? Laat het dan eerst even beoordelen voordat je tekent. Mocht je er zelf niet uitkomen met het opstellen van een eigen document, dan kan ik het voor je doen.

mr. Marjo Vink