Verwerkersovereenkomsten — Controlelijst en gids voor FG's

Een verwerkersovereenkomst is vereist wanneer een verwerkingsverantwoordelijke een verwerker inschakelt om namens hem persoonsgegevens te verwerken. Het onderscheid tussen verwerkingsverantwoordelijke en verwerker is cruciaal: een verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de verwerking, terwijl een verwerker alleen handelt op instructies van de verwerkingsverantwoordelijke. Veelvoorkomende verwerkersrelaties die een verwerkersovereenkomst vereisen zijn: cloudhosting-aanbieders, e-mailmarketingplatformen, salarisdienstverleners, CRM-systemen, analysetools, IT-ondersteuningsbedrijven met toegang tot persoonsgegevens en externe callcenters. Niet elke leveranciersrelatie vereist een verwerkersovereenkomst. Als een bedrijf een dienst gebruikt waarbij geen persoonsgegevens worden verwerkt (bijv. het bestellen van kantoorbenodigdheden), is geen verwerkersovereenkomst nodig. Als twee partijen onafhankelijk de doeleinden van de verwerking bepalen, zijn het gezamenlijke verwerkingsverantwoordelijken onder Artikel 26 en hebben ze een overeenkomst voor gezamenlijke verantwoordelijkheid nodig in plaats van een verwerkersovereenkomst. Voor externe FG's is een van de meest voorkomende auditbevindingen onvolledige dekking van verwerkersovereenkomsten. Klanten hebben vaak 20-30 verwerkersrelaties maar slechts 10-15 verwerkersovereenkomsten. Een systematische inventarisatie van alle leveranciersrelaties is de essentiële eerste stap.

Artikel 28(3) AVG specificeert de minimale inhoud van een verwerkersovereenkomst. Elke verwerkersovereenkomst moet bevatten: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, de soorten persoonsgegevens en categorieën betrokkenen, en de verplichtingen en rechten van de verwerkingsverantwoordelijke. Daarnaast moet de verwerkersovereenkomst bepalen dat de verwerker: gegevens alleen verwerkt op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke, waarborgt dat geautoriseerd personeel gebonden is aan vertrouwelijkheidsverplichtingen, passende technische en organisatorische maatregelen implementeert (Artikel 32), sub-verwerkers alleen inschakelt met voorafgaande toestemming en gelijkwaardige contractuele verplichtingen, de verwerkingsverantwoordelijke bijstaat bij inzageverzoeken, bijstaat bij meldingen van beveiligingsinbreuken en DPIA-verplichtingen, gegevens verwijdert of retourneert na beëindiging van het contract, en alle informatie beschikbaar stelt die nodig is om compliance aan te tonen, inclusief het toestaan van audits. Veel organisaties gebruiken standaard verwerkersovereenkomsten van de verwerker (bijv. AWS, Google, Microsoft). Hoewel deze sjablonen vaak de verplichte bepalingen dekken, kunnen ze bepalingen bevatten die ongunstig zijn voor de verwerkingsverantwoordelijke — zoals brede sub-verwerkingsrechten, beperkte audittoegang of minimale aansprakelijkheidslimieten. Beoordeel door verwerkers verstrekte verwerkersovereenkomsten altijd kritisch.

De meest voorkomende fout is helemaal geen verwerkersovereenkomst hebben voor bestaande verwerkersrelaties. Veel organisaties sloten contracten met SaaS-aanbieders jaren voor de AVG-handhaving en voegden nooit een verwerkersovereenkomst toe. Deze hiaten behoren tot de eenvoudigst te identificeren auditbevindingen voor toezichthouders. Een ander veelvoorkomend probleem is verouderde verwerkersovereenkomsten die niet meer aansluiten bij de huidige verwerkingsactiviteiten. Een verwerkersovereenkomst die werd ondertekend toen een bedrijf een dienst gebruikte voor basis-e-mail, dekt mogelijk niet het uitgebreide gebruik dat nu marketingautomatisering, profilering en grensoverschrijdende gegevensoverdrachten omvat. Sub-verwerkersbeheer wordt vaak verwaarloosd. Onder Artikel 28(2) moet de verwerkingsverantwoordelijke sub-verwerkers autoriseren — ofwel specifiek, ofwel algemeen met een recht van bezwaar. Veel verwerkers onderhouden lijsten van sub-verwerkers die regelmatig veranderen (vooral grote cloudproviders). FG's moeten ervoor zorgen dat klanten een proces hebben voor het beoordelen van sub-verwerkerswijzigingen. Tot slot worden de bepalingen bij contractbeëindiging vaak over het hoofd gezien. Specificeert de verwerkersovereenkomst verwijdering of retournering van gegevens? Binnen welk tijdsbestek? In welk formaat? Deze details worden cruciaal bij het wisselen van aanbieder of wanneer een verwerkersrelatie eindigt.

Voor externe FG's die 10-20 klanten beheren, elk met 15-30 verwerkersrelaties, wordt het handmatig bijhouden van verwerkersovereenkomsten onpraktisch. Dat zijn potentieel 200-600 verwerkersovereenkomsten om te monitoren op vervaldata, sub-verwerkerswijzigingen en compliance-hiaten. Een systematische aanpak begint met een centraal overzicht. Onderhoud voor elke klant een lijst van alle verwerkersrelaties met de bijbehorende verwerkersovereenkomst-status: aanwezig, ontbrekend, verlopen of in beoordeling. Koppel elke verwerkersovereenkomst aan de relevante verwerkingsactiviteiten in uw verwerkingsregister — dit creëert een volledig compliance-beeld. Stel vervalmeldingen in voor verwerkersovereenkomsten met een vaste looptijd. Veel verwerkersovereenkomsten zijn gekoppeld aan het onderliggende dienstverleningscontract en worden automatisch verlengd, maar sommige hebben een vaste termijn. Een verlopen verwerkersovereenkomst betekent verwerking zonder geldige juridische regeling — een duidelijke AVG-overtreding. Standaardiseer uw beoordelingscontrolelijst voor verwerkersovereenkomsten. In plaats van elke verwerkersovereenkomst vanaf nul te lezen, controleer op de verplichte elementen uit Artikel 28(3), beoordeel sub-verwerkersbepalingen, verifieer waarborgen voor gegevensoverdracht (vooral na Schrems II) en bevestig bepalingen bij contractbeëindiging. Trustee.eu laat u dit alles per klant bijhouden met statusindicatoren en deadline-herinneringen.