Klantcontact uitbesteden? Zorg voor een verwerkersovereenkomst!

Wanneer je als bedrijf je klantcontact uitbesteedt, is het heel belangrijk om de AVG niet te vergeten. We hebben er al eerder over geschreven: in januari nog, over wat de AVG is en wat jij moet regelen om eraan te voldoen. Om je geheugen op te frissen: het is die nieuwe regelgeving met betrekking tot de beveiliging van de gegevens die jij van anderen verzamelt. Wanneer jij je klantcontact uitbesteedt, vraag je aan een ander bedrijf om in contact te staan met jouw klanten. Je moet ze daarvoor dus toegang geven tot hun gegevens. En jij moet er dus voor zorgen dat die informatie-uitwisseling allemaal goed beveiligd is. Dat doe je met een verwerkersovereenkomst.

Wat is een verwerkersovereenkomst?

De verwerkersovereenkomst bestaat al een tijdje, maar werd vóór de tijd van de Algemene Verordening Gegevensbescherming (AVG) nog ‘bewerkersovereenkomst’ genoemd. De verwerkersovereenkomst is belangrijk voor de Verantwoordingsplicht die je als ondernemer onder de AVG hebt. Met zo’n overeenkomst verzeker je jezelf er namelijk van dat de andere partij jouw klantgegevens niet zelf gaat verwerken, op welke mogelijke manier dan ook.

De verwerkersovereenkomst kan een apart document zijn, maar dat hoeft niet per se. Het kan namelijk ook onderdeel uitmaken van een bestaand contract. Dat kan in een hoofdovereenkomst zoals de Algemene Voorwaarden die door beide partijen getekend worden of in het Service Level Agreement. Het hebben van een verwerkersovereenkomst is helaas niet optioneel. Als je deze niet hebt kun je een boete krijgen: maximaal 20 miljoen euro of 4% van de totaalomzet. Die laatste wordt wereldwijd genomen.

Wat is het verschil met de bewerkersovereenkomst?

Eigenlijk is er niet veel anders tussen de twee overeenkomsten. Alleen de naam is veranderd en het feit dat de eisen iets uitgebreider zijn geworden onder de AVG. De bewerkersovereenkomst ging vooral over afspraken over beveiliging en datalekken. Maar de AVG eist ook schriftelijke afspraken over andere onderwerpen. Zoals het vastleggen van welke gegevens je verwerkt en hoe je die hebt beveiligd. Verder zijn er ook in de AVG eisen aan geheimhouding gesteld, maar deze moesten ook al in de bewerkersovereenkomst staan.

Ondernemers hoeven zich dus weinig zorgen te maken, omdat ze al aan de eisen voldoen. De naam is veranderd omdat het meer specifiek is en dus duidelijker om wat voor soort handelingen het gaat. Maar hoewel er weinig aanpassingen zijn, is het nog steeds wel belangrijk om de hele boel te herzien. Ja, hiervoor moet je dus echt even gaan zitten als je dat nog niet gedaan hebt. Want alle aanpassingen, daar moet je wél aan voldoen.

Wanneer moet je een verwerkingsovereenkomst hebben?

De Autoriteit Persoonsgegevens schrijft het volgende op haar website:

“Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een ‘verwerkersovereenkomst’ afsluiten.”

Deze omschrijving laat vrij weinig aan de verbeelding over. Werkt er iemand anders voor jou met de gegevens van je klanten? Dan moet je zo’n overeenkomst hebben. Dus bijvoorbeeld wanneer jij je salarisadministratie uit handen geeft of je persoonlijke gegevens in de cloud opslaat. Of je klantencontact uitbesteedt aan een externe aanbieder. Voor de duidelijkheid: het gaat hier om zowel klant- én personeelsgegevens.

Wie is de verwerkingsverantwoordelijke en wie is de verwerker?

Het is belangrijk dat je je beseft wie er werkelijk de verwerkingsverantwoordelijke is. Wanneer je namelijk gegevens verstrekt aan een andere partij waarmee deze derde partij zelfstandig aan het werk gaat, bijvoorbeeld door zelf diensten aan te bieden, is die derde partij de verwerkingsverantwoordelijke. Het kan dus ook zo zijn dat er twee verwerkingsverantwoordelijke partijen zijn.

Wanneer jij als bedrijf je klantcontact uitbesteedt aan bedrijf X, ben jij de verwerkingsverantwoordelijke en bedrijf X is de verwerker. Jij bent er immers verantwoordelijk voor dat er niets gebeurt met de gegevens van jouw klanten. En daar zorg je dus voor met de verwerkingsovereenkomst. De verwerker moet zich aan deze overeenkomst houden en is dus alleen verantwoordelijk voor zijn deel: het verwerken van de gegevens en het niet verbreken van de overeenkomst. Zowel de verwerkingsverantwoordelijke als de verwerker zijn verplicht om een verwerkingsovereenkomst te hebben.

Wat moet er in een verwerkersovereenkomst staan?

Nu weten we ongeveer voor wie de verwerkersovereenkomst verplicht is. Laten we dan eens kijken naar wat er in zo’n overeenkomst ongeveer moet staan. Belangrijk is vooral dat er duidelijk is wat de overeenkomst inhoudt. Om welke werkzaamheden gaat het? Oftewel: wat is het onderwerp van de overeenkomst? Wat is het doel van de gegevensverwerking en om wat voor soort persoonsgegevens gaat het?

Daarnaast moeten ook de rechten en plichten van de verantwoordelijke in de overeenkomst staan. En wie doet er wat als er bijvoorbeeld een datalek is ontstaan en wie draait op voor de schade? Tot slot moet je ook altijd vermelden voor hoelang de overeenkomst aangegaan wordt. Na afloop van de verwerkersovereenkomst moet de verwerker namelijk altijd alle gegevens óf teruggeven aan de verwerkingsverantwoordelijke óf vernietigen.

Verplichte onderwerpen voor de verwerkersovereenkomst

De volgende onderwerpen moeten allemaal in de verwerkingsovereenkomst staan:

  • Algemene omschrijving van de verwerking; waar het om gaat, hoe lang deze duurt en het doel ervan. Ook om welk soort persoonsgegevens het gaat en de rechten en plichten van de verwerkingsverantwoordelijke.
  • Duidelijke instructies voor de verwerking, deze vormen de basis van hoe de verwerker met de gegevens gaat werken.
  • Geheimhoudingsplicht voor de verwerker en zijn personeel.
  • De getroffen beveiligingsmaatregelen die de verwerking zo veilig mogelijk moeten maken: onder andere pseudonimisering, versleuteling, beveiligingstesten en toegang tot gegevens bij incidenten.
  • Informatie over subverwerkers: of ze zijn toegestaan en wanneer + de verplichtingen van deze subverwerkers, welke over het algemeen hetzelfde zullen zijn als die van de verwerkers. De verantwoordelijkheid in het geval van de inzet van subverwerkers door de verwerker ligt altijd bij de verwerker. Zie hiervoor artikel 28, lid 4 van de AVG.
  • Privacyrechten en dat de verwerker jou helpt wanneer iemand hier een beroep op doet, bijvoorbeeld: het recht op inzage, correctie, vergetelheid en dataportabiliteit.
  • Andere verplichtingen waar de verwerker jou mee moet helpen om deze na te komen, zoals meldingen doen of een DPIA (data protection impact assessment)
  • Het verwijderen of terugsturen van gegevens bij het beëindigen van de verwerkingsovereenkomst. Eventuele kopieën moeten verwijderd worden tenzij het bij de wet verplicht is om deze te bewaren.
  • Verder moeten er ook audits uitgevoerd worden. De verwerker moet hier altijd aan meewerken en relevante informatie beschikbaar stellen.

ALLE regels van de AVG vind je op privacy-regulation.eu. Wanneer jij met externe bedrijven te maken hebt die met jouw klant- of personeelsgegevens aan het werk gaan, is het sterk aan te raden om je goed in te lezen. Dus wanneer je bijvoorbeeld je klantencontact uitbesteedt aan een ander bedrijf. Doe je dat nog niet? Lees dan ons artikel Klantencontact uitbesteden in 6 stappen eens om te weten te komen hoe je dat doet.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Aanmelden nieuwsbrief