De AVG en RT, verwerkersovereenkomsten

Geschreven op

In mijn vorige blogs heb ik je al veel informatie gegeven over de AVG en zaken die je (mogelijk) moet regelen om te zorgen dat je aan deze wet voldoet. In het blog van vandaag vertel ik je het één en ander over wat je moet doen als iemand anders in jouw opdrachten gegevens verwerkt.

Hoewel ik inmiddels al flink veel heb gelezen en geschreven over de AVG vind ik het wel belangrijk om weer even te vermelden dat ik geen jurist ben en deze blogs niet bedoeld zijn als juridisch advies. Ik beschrijf mijn ervaringen en wat ik heb uitgezocht voor mijn bedrijf, zodat jij er je voordeel mee kunt doen. Het blijft wel belangrijk dat je zelf kijkt wat voor jouw praktijk van toepassing is en dat je als dat nodig is advies vraagt aan een jurist.

Zo, nu dat achter de rug is, kan ik je het één en ander gaan vertellen over de overeenkomsten die je sluit met verwerkers.

Verwerkersverantwoordelijke of verwerker

In de AVG wordt een onderscheid gemaakt tussen de persoon die (of het bedrijf dat) verantwoordelijk is voor de verwerking van de gegevens en degene die de daadwerkelijke verwwerking uitvoert. Een voorbeeld hiervan is wanneer je gebruikt maakt van toetsen die digitaal genormeerd worden. Jij bent verantwoordelijk voor de gegevens die je van je leerlingen hebt gekregen en bepaalt wat ermee gebeurt, maar de eigenaar van de normeringswebsite verwerkt de gegevens die jij doorgeeft. In dat geval ben jij de verwerkingsverantwoordelijke en de eigenaar van die website is de verwerker.

Als je heel precies je overzicht hebt ingevuld dat ik beschreef in 1 van mijn eerdere blogs, ben je waarschijnlijk een aantal van dit soort situaties tegengekomen. Sommige zijn heel duidelijk, zoals het voorbeeld hierboven of wanneer je voor je leerling een account aanmaakt bij een website om te oefenen, maar anderen liggen minder voor de hand. Zelf dacht ik bijvoorbeeld niet direct aan mijn telefoon die contactpersonen synchroniseert met mijn Gmail-account en de back-ups die ik opsla in "the cloud".

Verwerkersovereenkomsten

In alle gevallen waarin je samenwerkt met een externe verwerker, is het belangrijk dat je duidelijk afspraken maakt met die verwerker. Volgens de AVG is dit jouw verantwoordelijkheid omdat je klanten hun gegevens aan jou toevertrouwd hebben.
Om dit goed te regelen (en om te voldoen aan de verantwoordingsplicht) sluit je verwerkersovereenkomsten af met het bedrijf waar jij de gegevens aan doorgeeft. In die overeenkomst leg je bijvoorbeeld vast dat dat bedrijf niets anders mag doen met die gegevens dan waar jij opdracht voor hebt gegeven en welke maatregelen zij treffen om de gegevens veilig te bewaren.

Wie stelt de overeenkomst op?

Omdat jij verantwoordelijk bent, zou jij officieel degene zijn die deze overeenkomst opstelt, maar gelukkig zal dat in de praktijk meestal niet zo zijn. Voor grote bedrijven die vaak optreden als verwerkers is het veel handiger om zelf een overeenkomst op te stellen en die voor te leggen aan hun klanten, dan om met alle klanten losse overeenkomsten af te sluiten. De afgelopen maanden heb je dan ook misschien wel gemerkt dat je al een aantal van deze overeenkomsten opgestuurd hebt gekregen. Ook ik ben hier voor de klanten die werken met Mijn Superkracht druk mee bezig, dus als je bij het netwerk bent aangesloten, kun je binnenkort een voorstel verwachten.

Keuzes maken

Het is heel belangrijk om te onthouden dat jij verantwoordelijk blijft, jij bent dus ook degene die bepaalt of de overeenkomst in orde is en of de gegevens bij dat bedrijf inderdaad zo veilig zijn dat jij ze aan hen door wilt geven. Als je hier aan twijfelt, is het belangrijk om goed te kijken of je de software of de website van dat bedrijf wel wilt gebruiken. En als je denkt dat dat echt nodig is, kun je ervoor kiezen om extra maatregelen te treffen om  de gegevens van je klanten te beschermen.

En als ik mijn leerlingen anoniem invoer?

Van een aantal begeleiders kreeg ik de vraag of het aangaan van deze overeenkomsten niet te voorkomen is door je leerlingen anoniem in te voeren. Omdat ik zelf niet voor deze optie kies heb ik het niet nagevraagd bij mijn juriste, maar volgens mij kan dat inderdaad, maar dan is er wel een heel belangrijke voorwaarde: de gegevens die je invoert mogen echt niet te herleiden zijn naar een persoon. Als je bijvoorbeeld in plaats van een naam de initialen van je leerling invoert, zou je, op basis van de andere documenten die jij hebt, wel kunnen achterhalen om wie het gaat. Dit wordt pseudonimiseren genoemd en in dat geval zijn de gegevens niet volledig anoniem. Een verwerkersovereenkomst is dan wel noodzakelijk. Dit zou wel een maatregel kunnen zijn om gegevens te beschermen bij bedrijven die zelf (te) weinig beveiligingsmaatregelen treffen en waarvoor je geen alternatief hebt. (Meer informatie vind je in dit document op bladzijde 26)

Je zou de gegevens ook volledig kunnen anonimiseren door bijvoorbeeld een fictieve naam of een willekeurig nummer te gebruiken en dan ook nergens te noteren welke naam of welk nummer bij welke leerling hoort, maar ik vrees dat dat voor veel verwarring gaat zorgen en kies daar zelf dus niet voor.

Flinke klus

Op dit moment is het regelen van deze verwerkersovereenkomsten een flinke klus, maar ik denk dat dat vooral komt doordat je het je moet regelen met alle verwerkers waarmee je samenwerkt en doordat het voor iedereen nog erg nieuw is. Ik verwacht dat we er vrij snel aan gewend zullen zijn en dat het dan geen enkel probleem meer is. 

Wanneer je alle overeenkomsten geregeld hebt, kun je door met het opstellen van de overige documenten, waar ik je in mijn volgende blogs meer over zal vertellen.