Met de invoering van de Algemene verordening gegevensbescherming (AVG) gelden er verschillende nieuwe regels voor het verwerken van persoonsgegevens. Maar wanneer is een organisatie verwerkingsverantwoordelijke of verwerker? En wat moet er in een verwerkersovereenkomst staan?

De Autoriteit Persoonsgegevens startte in mei een campagne met praktische informatie over de AVG. De campagne is nu uitgebreid met informatie voor ondernemers over het verwerkers van persoonsgegevens. Het gaat onder andere over het opstellen van een verwerkersovereenkomst. Organisaties die een andere organisatie inschakelen voor het verwerken van persoonsgegevens waarvoor zij verantwoordelijk zijn moeten met deze partij een verwerkersovereenkomst afsluiten.

Met de verwerkersovereenkomst sluit een organisatie als verwerkingsverantwoordelijke uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. Organisaties mogen alleen verwerkers inschakelen als die voldoende garanties geven dat ze aan de wettelijke vereisten voldoen. Daarnaast is de organisatie die gegevens door een verwerker laat verwerken nog steeds verantwoordelijk voor de het naleven van de AVG.

Om ondernemingen hierover te informeren heeft de Autoriteit Persoonsgegevens de informatie over verwerkers, verwerkingsverantwoordelijken en verwerkersovereenkomsten uitgebreid en is er nieuwe informatie toegevoegd. Verder is er een video beschikbaar gemaakt over het opstellen van een verwerkersovereenkomst en zijn er twee hulpmiddelen om te bepalen of een organisatie verwerker is.

De komende maanden zal de privacytoezichthouder als onderdeel van de campagne nog extra aandacht besteden aan de verwerking van gegevens van (zieke) werknemers en de grondslagen voor verwerking van persoonsgegevens.