Eerste hulp bij de verwerkers-overeenkomst voor zzp'ers

Deel twee van "Valt best mee, die AVG" ;)

In mijn vorige post schreef ik in een notendop op wat de nieuwe privacywetgeving, de AVG, voor een 'gewone' zzp'er betekent. Natuurlijk heb ik in die post de doelgroep, zzp'ers, heel ver ingeperkt. Als je bijzondere, gevoelige of strafrechtelijke gegevens verwerkt, of een andere reden hebt dan die ik daar noemde, dan heb je meer werk te verzetten dan wat ik daar schreef. Maar is dat niet het geval, dan is het vaak allemaal niet zo ingrijpend.

De verwerkersovereenkomst heb ik in die post al gauw aan de kant geschoven. Een 'gemiddelde' zzp'er zal er, zo verwachtte ik, niet zelf een opstellen.

Maar toch kwamen de vragen binnen. "Heb ik er een nodig? Waar vind ik een voorbeeld verwerkersovereenkomst? Waar moet ie aan voldoen?" Dat zette me aan het denken over de verwerkersovereenkomst. Ik ging er in mijn vorige post vanuit dat je als zzp'er alleen met dat document te maken hebt als je een webhoster hebt, bijvoorbeeld. Of een online administratiepakket gebruikt. Maar er zijn nog twee andere scenario's mogelijk, en in dat geval heb je misschien meer vragen over dit document dan wanneer je hem als voldongen feit in je mailbox ontvangt.

Deze post heet "Eerste hulp bij…" omdat net als bij ongelukjes, de eerste hulp vaak niet verleend wordt door professionals. Als iemand valt, dan zijn het de omstanders die de eerste hulp verlenen. De professionals (het ambulancepersoneel of, in dit geval, je jurist) komen als het goed is snel daarna in beeld. Zie deze post dus als een paar tips van mij als omstander, voor zover ik de AVG begrijp.

Photo by Zhen Hu / Unsplash

Wat IS het?

Ik heb deze post een beetje aangepast. Want laat ik eerst eens uitleggen wat het ding is. Ik leg het je uit, door je het verschil uit te leggen tussen de privacyverklaring en de verwerkersovereenkomst.

Allereerst, de privacyverklaring: Als jij in opdracht van jouw klanten hun gegevens verwerkt, schrijf je dat in je privacyverklaring netjes op. De privacyverklaring is voor als een klant tegen jou zegt "Ja, je mag mijn e-mailadres hebben, maar wel netjes mee om gaan".

De privacyverklaring is een document waarin je tegen iemand die weet dat je zijn gegevens gaat verwerken, vertelt hoe je daarmee omgaat.

En de verwerkersovereenkomst? Misschien weet je het antwoord nu al. De verwerkersovereenkomst is een document wat je moet vastleggen als je gegevens gaat verwerken van iemand, die (waarschijnlijk) helemaal niet weet dat een ander zijn gegevens in handen gaat krijgen. Daarom zegt de AVG dat je in dat geval wel extra maatregelen moet nemen. Je bent verplicht met elkaar een verwerkersovereenkomst op te stellen. En je zet in je privacyverklaring dat je verwerkersovereenkomsten hebt afgesloten. (Want hoe weet jouw klant anders dat zijn gegevens elders worden verwerkt en dat dat netjes gebeurt?)

De verwerkersovereenkomst is voor als jouw klant tegen jou bijvoorbeeld zegt "Wil jij mijn klant X een bericht sturen? Hier is zijn telefoonnummer". Of andersom, als jij tegen een ander zegt "Hier heb je gegevens van mijn klant Y, kun je even…"

Met andere woorden, je hebt met een verwerkersovereenkomst te maken als een van de volgende twee scenario's op jou van toepassing is.

Scenario 1, jij schakelt zzp verwerkers in

Je huurt een ander in, bijvoorbeeld voor je administratie. Denk aan een zzp boekhouder die jouw administratie gaat doen. Hij of zij ziet dan gegevens van jouw klanten. Jij bent de verwerkingsverantwoordelijke, want jij vraagt jouw klanten om hun gegevens. De ander is verwerker, want jij vraagt hem of haar in feite: "Kun je dit voor mij in de administratie verwerken?"

Nou verwacht ik dat ook een zzp boekhouder te werk gaat als de webhoster in mijn vorige post: Hij of zij zal hopelijk al zijn klanten zelf een verwerkersovereenkost voorleggen. Dat scheelt hem een hoop gesprekken en hij weet dat hij bij alle klanten aan dezelfde voorwaarden moet voldoen. Maar als jouw boekhouder nog niet AVG-klaar is, dan kun jij natuurlijk ook zelf aan de slag. Jij maakt dan een eerste voorstel en dat onderhandel je samen uit.

Scenario 2, jij BENT een zzp verwerker

Dit scenario is waarschijnlijk van toepassing op juist de zzp boekhouders, bijvoorbeeld. In zo'n geval biedt een klant jouw de gegevens aan die jij moet verwerken. Jij krijgt gegevens van derden te zien. Je klant is verwerkingsverantwoordelijke, want die derden kiest hij of zij. Jij bent de verwerker.

Meestal ga je zelf als zzp'er waarschijnlijk niet aan de slag om een verwerkersovereenkomst op te (laten) stellen. En dat is misschien maar goed ook… Dit stukje van de AVG valt namelijk, eerlijk gezegd, niet helemaal mee…


Waar moet dat ding aan voldoen?

De verwerkersovereenkomst is, plat gezegd, domweg een contract tussen jullie beiden waarin je een paar dingen afspreekt. Als je het op een bierviltje zet en allebei ondertekent is het ook rechtsgeldig. Het hoeft ook niet heel moeilijk juridisch opgeschreven te worden. Het hoeft niet eens een apart document te zijn! Dit mag je ook allemaal in je algemene voorwaarden opnemen! Zolang jij en je klant het er maar over eens zijn wat allemaal de voorwaarden van jullie samenwerking zijn.

Maar dit gaat niet op een bierviltje passen… Dat wordt een behoorlijke stapel viltjes..

De AVG heeft regels over wat er in een verwerkersovereenkomst moet staan. Je vindt dit ook allemaal terug op de website van de Autoriteit Persoonsgegevens. De regels zijn best uitgebreid, dus ik kan waarschijnlijk ook geen volledige lijst geven. Een aantal van de dingen die er sowieso in moeten:

Welke gegevens slaat de verwerker op? Zijn die gegevens gewoon, bijzonder, gevoelig of strafrechtelijk?

Ik ga er vanuit dat je als je bijzondere, gevoelige of strafrechtelijke gegevens opslaat, je naar een jurist gaat. Als het misgaat, zijn de boetes niet mis. Dus bezuinig in dit geval niet. Sla je alleen 'gewone' gegevens op, dan is het een redelijk eenvoudig lijstje van alles wat je opslaat. Bijvoorbeeld naam, adres, e-mailadres, telefoonnummer, etc.

Van wie zijn die gegevens? Noem de groepen van mensen specifiek, zoals "klanten van verwerkingsverantwoordelijke".

Tip: Zet er ook in "En iedereen die de verwerkingsverantwoordelijke zijn/haar persoonsgegevens geeft om te verwerken".

Waarom mag/moet de verwerker deze gegevens opslaan?

In feite schrijf je hier dat jullie een overeenkomst met elkaar hebben en dat voor het uitvoeren van die overeenkomst de verwerker persoonsgegevens moet verwerken.

Voor hoe lang slaat de verwerker de gegevens op? Wanneer moet hij ze verwijderen?
En nog meer…

Maar ook zegt de AVG dat bepaalde dingen er precies zo in moeten staan zoals de AVG voorschrijft. Zo is bijvoorbeeld de volgende clausule verplicht:

De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Andere dingen die er volgens mij precies zo in moeten staan zoals de AVG het voorschrijft, zijn:

  • Dat de verwerker een geheimhoudingsplicht heeft.
  • Dat de verwerker de boel goed moet beveiligen. Voor zover ik het begrijp, moet je ook echt specifiek opschrijven hoe het beveiligd is. De boel moet beveiligd zijn tegen: inzien door derden, wijzigen door derden en verliezen van de data. Dus afspraken over encryptie, wachtwoorden, backups, etc..
  • Of de verwerker anderen in mag schakelen. Als je verwerker een online pakket gebruikt om zijn diensten aan jou te leveren, dan zul je hem dit moeten toestaan. Anders kun je dit verbieden.
  • Dat de verwerker mee moet werken aan audits. Dit zijn controles om te zien of hij zich aan de verwerkersovereenkomst houdt.
  • Dat de personen van wie de gegevens zijn, deze gegevens mogen inzien, wijzigen, verwijderen en nog meer privacyrechten uit mogen oefenen
  • En vast nog meer dingen die ik nu niet uit mijn hoofd weet…
Photo by Aaron Burden / Unsplash

Moet ik naar een jurist hiervoor?

Als je dat wil. Het hoeft niet per se. Maar natuurlijk zul je wel zeker moeten weten dat de verwerkersovereenkomst klopt. Vooral als je de verwerkingsverantwoordelijke bent, want je kunt boetes krijgen als je je niet aan de AVG houdt. Maar ook als verwerker, want een verwerkersovereenkomst kan ook voor de verwerker boetes bevatten.

Je hebt dus twee opties:

  • Je betaalt een jurist om de AVG uit te vogelen en een verwerkersovereenkost voor je op te stellen. Dit kost je geld, maar bespaart jou tijd.
  • Je zoekt het zelf uit. Dit kost je tijd, maar bespaart je geld.

Misschien heel simpel gesteld, maar het is een kwestie van kiezen wat je belangrijke vindt: Je tijd of je geld. Dat ruil je tegen elkaar uit.

Ga je naar een jurist, dan sla je de rest van deze post misschien over. Dat is prima, die keuze maak je gewoon lekker zelf. De jurist regelt het voor je, en jij hoeft niet uren in Word te pielen met formulering, nummering en opmaak.

Let op: Ook als je naar de jurist gaat moet je er wel voor zorgen dat je weet wat er in staat, natuurlijk!

Zelf opstellen

De AVG zelf, de precieze verordening die de wet omschrijft, dat is een lap tekst waar je U tegen zegt. Als je dacht dat ik lang van stof ben, moet je eens in dat document kijken. Bohh.. 88 pagina's droge juridische tekst. Dat ding doorspitten om er achter te komen wat nou precies je plichten zijn.. pff…

Gelukkig zijn er genoeg bedrijven, instellingen en andere initiatiefnemers, die voorbeelden van de verwerkersovereenkomst hebben opgesteld. Deze voorbeelden kun je gewoon online vinden en vaak zijn dat documenten waar volgens mij ontzettend veel ogen naar gekeken hebben. Ik heb er wel vertrouwen in. Daarom heb ik ze als voorbeeld gebruikt voor de onze. Dit betekent wel dat ik ze tegen elkaar vergeleken heb en heel wat tijd op de website van de Autoriteit Persoonsgegevens heb doorgebracht om te begrijpen wat er nou verplicht is en wanneer ik wat te kiezen heb.

Een van de beste voorbeelden vind ik het voorbeelddocument van Privacy Company. Je vind het op hun website. Het voorbeeld is namelijk redelijk algemeen (dus voor veel mensen bruikbaar) en ze gebruiken heldere taal. Bijvoorbeeld de verplichte clausule waarin wordt vastgelegd dat de verwerkingsverantwoordelijk ("Ik") de eindverantwoordelijke is en de verwerker ("Jij") enkel uitvoerend werkt:

Jij zult alleen Persoonsgegevens verwerken in mijn opdracht en hebt geen zeggenschap over de Persoonsgegevens. Jij volgt mijn instructies hierover op en je mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Ik jou daar van te voren toestemming of opdracht voor geef.

Dit voorbeeld bevat een paar plekken waar je zelf wat in moet vullen. Het is bijna schilderen op nummer… ;)

We vonden nog andere voorbeelden, maar die waren wat heavier in de juridische teksten en ze zijn voor specifieke soorten organisaties.

  • surf.nl, ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland. In hun kennisbank vind je een model verwerkersovereenkomst.
  • informatiebeveiligingsdienst.nl, de informatiebeveiligingsdienst voor gemeenten. Op hun producten pagina vonden wij een model verwerkersovereenkomst.
  • nvz-ziekenhuizen.nl, de nederlandse vereniging van ziekenhuizen. Op hun onderwerpen pagina vind je bij "ICT en informatiebeveiliging" de modelverwerkersovereenkomst, in zowel Word als PDF.

In alle gevallen moet de verwerkersovereenkomst wel aangepast zijn op jouw scenario. Dus je zult wel flink aan de bak moeten als je dit zelf wilt doen.

Veel meer kan ik er niet over zeggen. Maar hopelijk geeft het een beetje houvast, als je het zelf wilt doen.

Aan jou de keuze. Veel succes!