Verwerkersovereenkomst

 

Met externe partijen die bestanden van SICH met persoonsgegevens verwerken voor SICH, moeten afspraken worden gemaakt die in een overeenkomst worden vastgelegd (art. 28 AVG). Omdat SICH, naar verwachting, nooit werk zal uitbesteden waarbij persoonsgegevens van haar deelnemers en vrijwilligers worden verstrekt aan een externe partij is er geen formulier ‘Verwerkersovereenkomst’ voorbereid voor gebruik. Als het toch noodzakelijk is dan moet er eerst een verwerkersovereenkomst met briefhoofd van SICH worden gemaakt waarin de volgende onderwerpen staan.

 

  1. Naam verwerker.
  2. Welke (soort) persoonsgegevens worden verwerkt en eventueel de wettelijke basis.
  3. Welke verwerkingen de verwerker precies moet doen. Hierbij kan ook geregeld worden wat de verwerker (in ieder geval) niet mag doen:
  • De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de opdracht en instructies in de overeenkomst.
  • De verwerker maakt geen kopieën van de persoonsgegevens zonder toestemming en vernietigt de bestanden of geeft deze terug na gebruik.
  • De verwerker draagt zorg voor passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies e.d. en informeert SICH hierover.
  1. Als de verwerker gebruik maakt van onderaannemers, dan worden in de overeenkomst afspraken gemaakt over de voorwaarden waarop de verwerker de onderaannemers mag inschakelen. De verwerker geeft inzicht in de overeenkomst en afspraken met de onderaannemers en zorgt dat deze afspraken in overeenstemming zijn met de AVG-wetgeving.
  2. De verwerker heeft een geheimhoudingsplicht. In deze overeenkomst met onderaannemer wordt deze ook opgelegd aan de onderaannemer. Bij schending van deze geheimhoudingsplicht wordt een boete opgelegd door SICH. De hoogte van de boete is vooraf vastgelegd in de overeenkomst door SICH.
  3. SICH houdt zich het recht voor om te controleren of de verwerker zich aan de afspraken houdt. In de overeenkomst worden daar afspraken over gemaakt.
  4. Afspraken over rapportage van beveiligingsincidenten en datalekken en na ontdekking de termijn waarbinnen deze incidenten moeten worden gemeld bij SICH. Ook wordt opgenomen dat tot zeker 5 jaar na de opdrachtverstrekking voor verwerking van de persoonsgegevens datalekken worden gemeld.
  5. De criteria voor rapportage van incidenten, de inhoud van rapportages over beveiligingsincidenten en datalekken, en de snelheid waarmee wordt gerapporteerd SICH. In de afspraken is opgenomen dat de verwerker beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen meteen rapporteert aan SICH en dat de verwerker waar nodig ook meewerkt aan het adequaat informeren van de betrokkenen.
  6. Afspraken over de verdeling/afhandeling van schade voor personen als gevolg van datalekken door de verwerker, wanneer SICH daarvoor aansprakelijk wordt gesteld. De verwerker is aansprakelijk voor schade die door de verwerker is veroorzaakt en die hem kan worden toegerekend. Eventueel met vrijwaringsbepaling voor SICH voor aansprakelijkheid van  schade als gevolg van het verwerken van persoonsgegevens door verwerker.