De verwerkersovereenkomsten die bedrijven volgens de AVG moeten opstellen variëren sterk. Dat concludeert de Autoriteit Persoonsgegevens (AP) na onderzoek bij 31 organisaties in de private sector (uit de sectoren handel, gezondheidszorg, media, vrije tijd en energie).
Het doel van het onderzoek was een beter beeld te krijgen van hoe organisaties de overeenkomsten opstellen. De conclusie dat er zeer diverse verwerkersovereenkomsten in gebruik zijn past volgens de AP bij het beeld dat de AVG, door de open normen van de wet, mogelijkheden biedt voor maatwerk.
Onderzoeken AVG
Sinds de invoering van de AVG op 25 mei 2018 controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. Zo keek de AP eerder of overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken een functionaris voor de gegevensbescherming (FG) hebben. Ook deed de AP een verkennend onderzoek bij grote private organisaties om te onderzoeken of zij een register van verwerkingsactiviteiten bijhouden.
Aanbevelingen van de AP
De AP benadrukt dat degelijke, periodiek bijgewerkte verwerkersovereenkomsten onderdeel vormen van een goede bedrijfsvoering. Organisaties die steeds meer door data gedreven worden, doen er volgens de toezichthouder goed aan om te investeren in werkende verwerkersovereenkomsten als onderdeel van hun datahuishouding.
Verder heeft de AP een paar algemene aanbevelingen voor organisaties, waaronder:
- Maak op basis van uw verwerkingsregister inzichtelijk welke organisaties u inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst geldt of vereist is.
- Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen. Sluit aan op bestaande processen voor contractmanagement en herzie de overeenkomsten periodiek.
- Maak afspraken en maatregelen concreet. Een verwerkers-overeenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Benoem bijvoorbeeld concrete bewaartermijnen of maak concreet welke beveiligingsmaatregelen worden getroffen.
Geef een reactie