De Autoriteit Persoonsgegevens (AP) heeft in het kader van een steekproef bij 30 private organisaties opgevraagd welke afspraken zij hebben met partijen die voor hen persoonsgegevens verwerken. De steekproef vindt plaats in het kader van handhaving van privacywet AVG.
Volgens de Europese privacyregels moeten dergelijke afspraken vastgelegd zijn in een zogeheten verwerkersovereenkomst. De AP heeft informatie opgevraagd bij bedrijven in onder meer de energiesector, media en handel. Een verwerker is een opdrachtnemer die gegevens van een verwerkingsverantwoordelijke beheert, bijvoorbeeld de opslag ervan.
Verwerkersovereenkomst
In de Europese privacyregels staat volgens de AP dat organisaties die persoonsgegevens verwerken een verwerkersovereenkomst moeten sluiten als ze samenwerken met andere partijen bij de verwerking van die persoonsgegevens. Dat is bijvoorbeeld nodig bij als zij IT-voorzieningen uitbesteden.
Organisaties blijven zelf verantwoordelijk voor goede bescherming van persoonsgegevens, zo stelt de toezichthouder. Daarom mag een organisatie alleen verwerkers inschakelen die voldoende garanties bieden dat zij ook aan de wettelijke vereisten voldoen.
Bescherming en verwerking omschrijven
In de verwerkersovereenkomst moet staan hoe de bescherming en verwerking van persoonsgegevens is geregeld. Dit betekent minimaal dat is omschreven:
- Welke gegevens worden verwerkt en voor hoe lang.
- Wat de aard en het doel van de verwerking is.
- Hoe de beveiliging van de gegevens is gewaarborgd.
Sinds de invoering van de Algemene Verordening gegevensbescherming (AVG) op 25 mei 2018 controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. Zo onderzocht de toezichthouder eerder of overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken een functionaris voor de gegevensbescherming (FG) hebben. Verder deed de AP een verkennend onderzoek bij grote private organisaties om te zien of zij een register van verwerkingsactiviteiten bijhouden
