Wat moet ik regelen om in controle te komen bij mijn leverancier?

“Ik heb aantal processen met persoonsgegevens die ik laat uitvoeren door mijn leverancier. Moet ik hiervoor een verwerkersovereenkomst afsluiten?”

Het antwoord op deze vraag is ja.

Een belangrijke maatstaaf om te bepalen of er een verwerkersovereenkomst moet worden afgesloten, is om na te gaan of uw leverancier persoonsgegevens primair in opdracht van u verwerkt en niet voor eigen gedefinieerde doeleinden.

Wanneer wordt uw leverancier gezien als verwerker?

De leverancier wordt gezien als verwerker wanneer u als opdrachtgever de volledige zeggenschap heeft over wat er met de gegevens gebeurt. Dus u bepaalt wat er moet gebeuren en hoe. In dit geval wordt uw organisatie gezien als verwerkingsverantwoordelijke. Dit is bijvoorbeeld het geval als uw organisatie gebruikt maakt van een Cloud leverancier voor het opslaan van persoonsgegevens. Dit is een verwerking namens u, en dan wordt de leverancier gezien als verwerker. In deze situatie dient er dus een verwerkersovereenkomst te worden afgesloten.

De overeenkomst, waarin minimaal de voorwaarden uit de AVG moeten zijn opgenomen, moet tussen beide partijen zijn afgesloten. Zowel de verwerkingsverantwoordelijke als de verwerker kunnen aansprakelijk worden gesteld wanneer er geen overeenkomst is.

Wanneer wordt uw leverancier niet gezien als verwerker?

De leverancier wordt volgens de AVG in de volgende gevallen niet gezien als verwerker. In deze gevallen is een verwerkersovereenkomst dus niet noodzakelijk.
Wanneer de leverancier:

1) Volgens de wetgeving expliciet genoemd wordt als organisatie die bepaalde persoonsgegevens mag of moet verwerken. Een voorbeeld is de Belastingdienst.
2) Volgens de wetgeving niet expliciet wordt genoemd, maar het wel voor de hand ligt dat de organisatie persoonsgegevens mag of moet verwerken. Een voorbeeld is de politie.
3) Rechtstreeks onder het gezag van uw organisatie valt. Een voorbeeld is een gedetacheerde leverancier. Dit wordt namelijk gezien als intern beheer. U blijft als opdrachtgever dan wel verantwoordelijk voor de persoonsgegevens die door de gedetacheerde wordt verwerkt!

Let wel op: De toezichthoudende autoriteit (zoals de Autoriteit Persoonsgegevens (AP) e.d.) zal bij een eventuele controle altijd kijken naar de feitelijke invloed. Met andere woorden: het kan wel gedocumenteerd zijn dat een organisatie de verwerkingsverantwoordelijke is, maar wijst de praktijk dit ook daadwerkelijk uit?

Verwerkingsverantwoordelijke en verwerker

Hoewel zowel de verwerkingsverantwoordelijke als de verwerker gebonden zijn aan hun rechten en plichten vanuit de AVG, blijft u als verwerkingsverantwoordelijke altijd de eindverantwoordelijkheid houden over de persoonsgegevens. Betrokkenen hebben namelijk met u, en niet met uw leverancier, hun persoonsgegevens gedeeld. Het is dus belangrijk om met uw leverancier de juiste afspraken te maken in een verwerkersovereenkomst, zodat deze in lijn zijn met uw privacy beleid en/of richtlijnen.

Maar hoe kan ik hiervoor zorgen? Lees daarvoor ons volgende artikel: “Ben ik in controle bij mijn leverancier?”