De verwerkersovereenkomst voor webshops: hoe pak je dat aan?

Gastblog door Laura Monhemius, juridisch adviseur bij ICTRecht

Sinds mei 2018 is de privacywet, de Algemene verordening gegevensbescherming (AVG), van kracht. Sindsdien is de AVG bijna niet meer weg te denken uit de praktijk, dagelijks verschijnt er wel iets over in het nieuws over datalekken, boetes of privacyschendingen. Deze wet is namelijk bedoeld om privacy en de bescherming van persoonsgegevens te waarborgen. Denk hierbij bijvoorbeeld aan de gegevens van websitebezoekers, of (potentiële) klanten. Onder de AVG is het in sommige gevallen ook verplicht om een zogenaamde verwerkersovereenkomst te sluiten. In deze blog lichten we toe wanneer je zo’n overeenkomst moet sluiten en wat erin moet staan.

Verwerkingsverantwoordelijken en verwerkers

Voordat een verwerkersovereenkomst wordt gesloten, worden de rollen van beide partijen vastgesteld. De AVG kent twee hoofdrollen: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Dit is bijvoorbeeld de werkgever voor persoonsgegevens van werknemers, of een webshop voor de gegevens van haar klanten en websitebezoekers. De verwerker verwerkt alleen persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Deze partij mag zelf niks met de gegevens doen. Denk bijvoorbeeld aan een hostingprovider of softwareleverancier (CRM, e-mailmarketing, etc.).

Wanneer moet er een verwerkersovereenkomst gesloten worden?

Zodra jouw organisatie als webshop bijvoorbeeld een softwareproduct afneemt waarmee je nieuwsbrieven naar jouw klanten kunt sturen, deel je persoonsgegevens van de beoogde ontvangers met een derde partij. In deze situatie is de webshop de verwerkingsverantwoordelijke en het bedrijf aan wie je het uitbesteedt de verwerker. Hier is het dus verplicht om een verwerkersovereenkomst te sluiten en te zorgen dat alle daarin opgenomen regels worden nageleefd. De webshop bepaalt namelijk het doel (nieuwsbrieven verzenden) en de middelen (aan de hand van de betreffende software) van de verwerking. De leverancier mag de gegevens niet voor eigen doeleinden gebruiken.

Wissel je persoonsgegevens uit met bijvoorbeeld de Belastingdienst, het UWV of een pakketbezorger? Dan is zowel de webshop als de andere partij een verwerkingsverantwoordelijke. Deze ontvangende partijen hebben de gegevens namelijk nodig voor eigen doeleinden: de Belastingdienst heeft wettelijke belastingverplichtingen, het UWV is o.a. verantwoordelijk voor uitkeringen, en een pakketbezorger bepaalt zelf wanneer en hoe pakketjes worden geleverd. Ze bepalen dus zelf het doel en de middelen en zijn dus geen verwerker. Hier is dus geen verwerkersovereenkomst benodigd. Geeft jouw organisatie medewerkers de mogelijkheid om met de trein te komen en deel je daarvoor persoonsgegevens met de NS, dan hoef je als werkgever ook geen verwerkersovereenkomst te sluiten met de NS om dezelfde reden.

Wat staat er in een verwerkersovereenkomst?

In de verwerkersovereenkomsten worden afspraken gemaakt over de verwerking en bescherming van persoonsgegevens. Het uitgangspunt is dat de verwerker deze persoonsgegevens enkel in opdracht van de verwerkingsverantwoordelijke mag verwerken. Een hostingpartij mag bijvoorbeeld dus niet zomaar nieuwsbrieven gaan sturen naar personen wiens gegevens worden gehost. Beide partijen zijn verplicht om de verwerkersovereenkomst te sluiten.

De AVG noemt een aantal verplichte onderwerpen die in een verwerkersovereenkomst moeten worden opgenomen, waaronder:

  • welke persoonsgegevens de verwerker verwerkt voor de verwerkingsverantwoordelijke;
  • op welke manier en voor welke doelen de verwerker persoonsgegevens verwerkt;
  • onder welke voorwaarden de verwerker een andere verwerker (subverwerker) mag inschakelen. De subverwerker moet dezelfde plichten op zich nemen als tussen de verwerkingsverantwoordelijke en verwerker zijn overeengekomen;
  • welke beveiligingsmaatregelen de verwerker neemt om de persoonsgegevens te beveiligen;
  • dat, en onder welke voorwaarden, de verwerkingsverantwoordelijke audits mag uitvoeren;
  • hoe aan de rechten van de betrokkene, bijvoorbeeld op inzage of verwijdering, wordt voldaan;
  • dat de verwerker ondersteunt bij het melden van eventuele datalekken;
    wanneer en op welke wijze persoonsgegevens weer worden verwijderd.

De AVG zegt niks over kosten, dus daar mogen aanvullende afspraken over worden gemaakt. In de praktijk worden er ook vaak afspraken gemaakt over aansprakelijkheid en vrijwaringen, inclusief voor boetes van de Autoriteit Persoonsgegevens. Het is alleen nog niet bekend hoe een rechter hiermee omgaat.

Mooi! Hoe kom ik aan zo’n verwerkersovereenkomst?

Grote partijen hebben vaak al een verwerkersovereenkomst opgenomen in hun algemene voorwaarden. Hierbij is vaak weinig of geen ruimte voor onderhandeling. Mocht je dat liever hebben, dan kun je als verwerkingsverantwoordelijke ook altijd zelf een verwerkersovereenkomst voorstellen. Via ICTRecht Shop kun je gemakkelijk en laagdrempelig zelf een verwerkersovereenkomst opstellen.

Over ICTRecht

ICTRecht ondersteunt al meer dan 15 jaar e-commerce ondernemingen met uitdagingen op het snijvlak van recht, security en techniek. Niet met ingewikkelde en wollige consultancyadviezen, maar gewoon praktische en proactieve ondersteuning waar je direct mee verder kunt.

Naast advies op afstand biedt ICTRecht ook gedetacheerde juristen en security officers, en verzorgt de ICTRecht Academy trainingen voor o.a. de e-commerce sector, waaronder specifiek over de verwerkersovereenkomst (eerstvolgende op 8 februari 2022).