Aanbevelingen AP en checklist KBS verwerkersovereenkomsten
De AP heeft bij 31 organisaties in de private sector (waaronder de gezondheidszorg) onderzoek gedaan naar verwerkersovereenkomsten. Haar conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn. Dit past bij de open normen van de AVG, die ruimte geven voor maatwerk. Verder doet de AP een aantal algemene aanbevelingen.
Het nieuwsbericht van de AP over haar onderzoek gaf ons aanleiding om onze checklist voor verwerkersovereenkomsten weer eens onder de aandacht te brengen.
Aanbevelingen AP
De AP doet de volgende algemene aanbevelingen:
- Maak op basis van uw verwerkingsregister inzichtelijk welke organisaties u inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst geldt of vereist is.
- Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen. Sluit aan op bestaande processen voor contractmanagement en herzie de overeenkomsten periodiek.
- Maak afspraken en maatregelen concreet. Een verwerkers-overeenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Benoem bijvoorbeeld concrete bewaartermijnen of maak concreet welke beveiligingsmaatregelen worden getroffen.
Deze aanbevelingen en ook de uitkomsten van het onderzoek van de AP zijn te vinden via het hiervoor genoemde nieuwsbericht.
Checklist verwerkersovereenkomsten
Eerder hebben wij voorzien in een checklist die zorgaanbieders (als verwerkingsverantwoordelijken) kunnen gebruiken bij een eerste beoordeling van een verwerkersovereenkomst. De checklist omvat 15 onderwerpen die in een verwerkersovereenkomst (kunnen) terugkomen en aldus aandacht verdienen als een verwerker een conceptovereenkomst voorlegt. Deze checklist treft u hier aan.
Advies
Voor advies over verwerkersovereenkomsten en andere privacyvraagstukken kunt u contact opnemen met mr. N. van den Burg of mr. E. Luijendijk.
