Blog

De verwerkersovereenkomst uitgelegd

Door:  Bruno Delaere

De introductie van de General Data Protection Regulation (GDPR) of AVG maakt het noodzakelijk dat organisaties die persoonsgegevens van EU-burgers verwerken, hun verwerkingsproces zodanig aanpassen dat deze in lijn is met de nieuwe privacywetgeving. Dit houdt onder meer in dat de huidige bewerkersovereenkomst dient te worden omgezet naar een verwerkersovereenkomst die compliant is met de GDPR. En juist over de verwerkersovereenkomst bestaat veel onduidelijkheid. In dit blog zetten wij daarom een aantal elementen uiteen om meer duidelijkheid te scheppen.

Wat is wat?

Contract, Algemene Leveringsvoorwaarden, Bewerkersovereenkomst, Verwerkersovereenkomst…. Het is niet zo gek dat er veel verwarring bestaat over wat er nu precies nodig is aan documentatie om de gegevensuitwisseling tussen klant en (software)leverancier zodanig te documenteren dat deze GDPR-compliant is. In de GDPR zijn er normaal gesproken drie partijen: de betrokkene, de verantwoordelijke en de verwerker. 

Een voorbeeld: bent u klant bij Unit4 voor het product Venice? Dan komt het erop neer dat u een contract met ons heeft voor het leveren van de software. In het contract staan de voorwaarden. Bij dat contract horen de algemene leveringsvoorwaarden waarin de verplichtingen staan van u als klant en Unit4 als leverancier. Deze twee componenten zeggen echter nog niets over de verantwoordelijkheden omtrent de data die u registreert binnen Venice. Daarvoor zijn de bewerkersovereenkomst en de verwerkersovereenkomst. Het verschil? De bewerkersovereenkomst is een voorloper van de huidige verwerkersovereenkomst. Binnen de GDPR wordt vanaf 25 mei 2018 gesproken over een verwerkersovereenkomst en deze vervangt de eerdere bewerkersovereenkomst.

Wanneer heeft u een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst is alleen noodzakelijk als u het beheer van de door u gebruikte software uitbesteedt. Neemt u Venice af vanuit de Unit4 Clouddiensten? Dan sluit Unit4 een verwerkersovereenkomst met u af. Heeft u Venice lokaal geïnstalleerd, dan heeft u geen verwerkersovereenkomst met Unit4. Heeft u Venice bij een andere hostingpartij ondergebracht, dan dient u met die partij een verwerkersovereenkomst af te sluiten. Tevens hebt u een verwerkersovereenkomst nodig op het moment van Unit4 inzage krijgt in uw data, bijvoorbeeld bij schermovername of bij onderzoek van uw gegevens. 

Wie initieert de verwerkersovereenkomst?

Formeel sluit de verantwoordelijke (u als klant) een verwerkersovereenkomst af met de verwerker (Unit4 als leverancier van diensten). Maar omdat er in de verwerkersovereenkomst ook elementen staan over bijvoorbeeld sub-verwerkers (personen / bedrijven die wij inzetten om gegevens te verwerken), hebben wij er als Unit4 voor gekozen om een standaard verwerkersovereenkomst op te stellen voor onze klanten, met een bijlage die is toegespitst op het product, bijvoorbeeld Unit4 Venice. Deze verwerkersovereenkomst ontvangen onze klanten voor 25 mei 2018. Neemt een klant meerdere producten van Unit4 af via de Cloud, dan ontvangen zij één centrale verwerkersovereenkomst met per product een bijlage. 

Voor meer informatie over de verwerkersovereenkomst en de GDPR in het algemeen kunt u terecht op de website van de Autoriteit Persoonsgegevens.

Op deze pagina vindt u whitepapers over hoe Unit4 en Venice met de GDPR omgaan en welke voorbereidingen wij treffen.

Bruno Delaere

Sales & Marketing

Volg mij linkedin