Privacy-recht
16 januari 2019

AP gaat verder met het uitvoeren van controles

Leonie Ouwersloot-Koster
AP gaat verder met het uitvoeren van controles | JPR Advocaten

De Autoriteit Persoonsgegevens (AP) heeft 16 januari jl. kenbaar gemaakt dat zij 30 organisaties uit de private sector, dus niet zijnde overheidsinstellingen, heeft gevraagd welke afspraken zij hebben gemaakt met verwerkers. De organisaties moeten hun verwerkersovereenkomsten verstrekken aan de AP.
Met het opnieuw instellen van een onderzoek geeft de AP verdere uitvoering aan de controle van de AVG. De AP heeft al eerder onderzoeken gestart naar de aanstelling van de functionaris gegevensbescherming door bedrijven en naar het verwerkingsregister. Het blijkt dan ook, in tegenstelling tot hetgeen veel organisaties denken, dat de AP de handhaving van de AVG wel degelijk oppakt. Het is dan ook van belang om te zorgen dat u de AVG goed hebt geïmplementeerd in uw organisatie. Stilzitten is er niet meer bij.

Het blijkt in de praktijk dat toch nog de nodige discussie bestaat over de inhoud van een verwerkersovereenkomst. Wat moet er ook alweer in de verwerkersovereenkomst opgenomen worden? Op grond van artikel 28 AVG moet het volgende minimaal worden opgenomen in de verwerkersovereenkomst.

  • De algemene beschrijving van de verwerking;
  • Instructies ten aanzien van de verwerking;
  • Maatregelen met betrekking tot de beveiliging;
  • Afspraken met betrekking tot subverwerkers;
  • Geheimhoudingsplicht;
  • Afspraken met betrekking tot de uitvoering van de rechten van betrokkenen;
  • Audits;
  • Verwijdering van gegevens na afloop van de verwerking;
  • Medewerkingsverplichting bij andere verplichtingen voortvloeiende uit de AVG.

Naast bovenstaande onderwerpen is het ook aan te bevelen om het onderwerp aansprakelijkheid goed te regelen. Het niet naleven van de AVG kan vergaande (financiële) gevolgen hebben. Het is goed om op voorhand duidelijke afspraken te maken over welke partij waarvoor aansprakelijk is.

Mocht het zo zijn dat uw verwerker niet in staat is om de voldoende garantie te bieden dat zij voldoen aan de wettelijke verplichtingen of mocht uw verwerker niet willen meewerken aan een verwerkersovereenkomst, dan zou u volgens de AP op zoek moeten gaan naar een andere verwerker.  

De AP benadrukt namelijk ook nu weer in haar verklaring dat een verwerkingsverantwoordelijke enkel verwerkers mag inschakelen die voldoende garantie bieden dat zij voldoen aan de wettelijke vereisten. De AP doet hiermee voorkomen alsof organisaties een echte keuzevrijheid hebben. Deze keuzevrijheid blijkt in de praktijk natuurlijk beperkter dan op papier. Het overstappen naar een compleet nieuw CRM-systeem bijvoorbeeld, heeft vergaande (financiële) gevolgen voor bedrijven en kan dan ook niet eenvoudig geregeld worden.

Heeft u op dit moment de verwerkersovereenkomst goed geregeld? Bevat de verwerkersovereenkomst de verplichte onderwerpen? Het is goed om de verwerkersovereenkomsten nogmaals tegen het licht te houden en te controleren of het basisdocument voldoet. Heeft u vragen over de verwerkersovereenkomst? Dan kunt u contact opnemen met een van onze privacy specialisten.

Gerelateerde berichten

Meld je aan voor onze nieuwsbrief

Ontvang als eerste alle relevante juridische ontwikkelingen.