De AVG en voorbeeld verwerkersovereenkomst
Op deze pagina vindt u informatie over de AVG (de "Algemene Verordening persoonsgegevens" ofwel de Europese verordening over privacy) en de voorbeelden verwerkersovereenkomst die de NBA aan haar leden ter beschikking stelt.
Wanneer u persoonsgegevens verwerkt dan is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG geeft een aantal regels die in acht moeten worden genomen bij de verwerking van persoonsgegevens.
Wanneer verwerk ik persoonsgegevens?
De AVG is alleen van toepassing wanneer er sprake is van de verwerking van een (of meer) persoonsgegevens. Als daar geen sprake van is dan is de AVG niet van toepassing.
Wanneer is sprake van persoonsgegevens?
Een "persoonsgegeven" is een gegeven waarmee iemand kan worden geïdentificeerd. Soms is direct duidelijk om wie het gaat, zoals bij NAW-gegevens en herkenbare afbeeldingen zoals pasfoto’s. In andere gevallen is niet direct duidelijk om wie het gaat, maar is het gegeven wel te herleiden tot een bepaalde persoon. Bijvoorbeeld als het u het gegeven kunt linken aan een bepaalde persoon via een database. Gegevens die in eerste instantie misschien geen persoonsgegevens lijken, kunnen dat dus wel zijn. Denkt u aan: BSN, IP-adressen, (mobiele) telefoonnummers en nummerborden.
Wat is verwerken?
De "verwerking” van persoonsgegevens omvat alle denkbare handelingen met persoonsgegevens, zoals het verzamelen, opslaan, analyseren, gebruiken, corrigeren en verwijderen. Maar ook meer passieve handelingen, zoals de enkele aanwezigheid van de gegevens op uw servers, vallen onder het begrip "verwerken" in de zin van de AVG.
Let op: om spraakverwarring te voorkomen is het goed om in het oog te houden dat “verwerken” een handeling is die zowel door verwerkingsverantwoordelijke als door de verwerker kan worden gedaan (verwerken is het algemene werkwoord).
Kortom, gezien het ruime begrip persoonsgegevens en het ruime verwerkingsbegrip bent u als accountant binnen uw dienstverlening al zeer snel persoonsgegevens aan het verwerken.
AVG
De AVG bepaalt wat een persoonsgegeven is, wanneer u een persoonsgegeven wel of niet mag verwerken en wat de rechten zijn van de personen wiens persoonsgegevens worden verwerkt (de "betrokkenen"). Daarnaast geldt voor (sommige) datalekken een meldplicht.
U moet bovendien kunnen aantonen dat u zich aan de regels van de AVG houdt. Het enkele voldoen aan de AVG is niet meer genoeg: u moet het ook kunnen bewijzen. Dat brengt met zich mee dat u meer moet vastleggen dan voorheen het geval was. Zo moet u een verwerkingsregister bijhouden en in bepaalde gevallen een verwerkersovereenkomst sluiten.
Ook hebben betrokkenen rechten. U moet desgevraagd aan betrokkenen informatie verschaffen over de persoonsgegevens die u over hen verzamelt en verwerkt. Daarnaast en moet u actie ondernemen als u een verzoek krijgt tot bijvoorbeeld het wissen van persoonsgegevens of het beperken van de verwerking van die persoonsgegevens.
Voorbeeld verwerkersovereenkomsten
Binnen de AVG hebben de verwerker en de verwerkingsverantwoordelijke een andere rol. Omdat het beantwoorden van de vraag welke rol u heeft als accountant ingewikkeld kan lijken, adviseren wij om u eerst te verdiepen in de vraag: Ben ik verwerker of verwerkingsverantwoordelijke?.
Bekijk ook
De AVG verplicht de verwerkingsverantwoordelijke en de verwerker om onderling afspraken te maken over de verwerking van persoonsgegevens. Deze afspraken kunnen in een verwerkersovereenkomst worden opgenomen. Als u als dienstverlener zelf derden inschakelt dan moet u met die partijen mogelijk ook een verwerkersovereenkomst sluiten: namelijk in het geval dat deze partij (ook) verwerker is.
Onderstaand vindt u een aantal voorbeelden van verwerkersovereenkomsten. In de beschrijving aan de linkerkant leest u in welke situatie u het betreffende voorbeeld kunt gebruiken. Van de voorbeelden bestaat ook een Engelse versie.
Beschikbare voorbeeldovereenkomsten
Verwerkersovereenkomst (klant verantwoordelijke – accountant verwerker) | Voorbeeld verwerkersovereenkomst AVG (EER en buiten EER) |
Verwerkersovereenkomst (accountant verwerker, derde subverwerker) | Voorbeeld verwerkersovereenkomst subverwerker AVG (EER en buiten EER) |
Verwerkersovereenkomst (accountant verantwoordelijke – derde verwerker) | Voorbeeld verwerkersovereenkomst AVG (EER en buiten EER) accountant verantwoordelijke |
Overeenkomst verantwoordelijke – verantwoordelijke (zelfstandige verwerkingsverantwoordelijken) | Voorbeeld overeenkomst verantwoordelijke - verantwoordelijke (zelfstandige verwerkingsverantwoordelijken) |
Voorbeeldovereenkomsten in het Engels
Data Processing Agreement: Customer (Controller) - Accountant (Processor) GDPR | Model Data Processing Agreement: Customer (Controller) - Accountant (Processor) GDPR |
Data Processing Agreement: Accountant (processor) - third party (sub-processor) GDPR | Model Data Processing Agreement: Accountant (processor) - third party (sub-processor) GDPR |
Data Processing Agreement: Accountant (Controller) - third party (Processor) GDPR | Model Data Processing Agreement: Accountant (Controller) - third party (Processor) GDPR |
Transfer agreement: Customer (Controller) - Accountant (Controller) (separate Controllers, not joint) |
Model Transfer agreement: Customer (Controller) - Accountant (Controller)(separate Controllers, not joint) |
Meer informatie
Vragen ten aanzien van het onderwerp privacy kunt u stellen via de helpdesk. Ook telefonisch bereikbaar via 088 4960 340. Houdt u er rekening mee dat de Autoriteit Persoonsgegevens de toezichthoudende instantie is op het gebied van privacy, niet de NBA. Wij kunnen uw vragen mogelijk alleen in zeer algemene zin beantwoorden.