De AVG en voorbeeld verwerkersovereenkomst

Op deze pagina vindt u informatie over de AVG (de "Algemene Verordening persoonsgegevens" ofwel de Europese verordening over privacy) en de voorbeelden verwerkersovereenkomst die de NBA aan haar leden ter beschikking stelt.

Wanneer u persoonsgegevens verwerkt dan is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG geeft een aantal regels die in acht moeten worden genomen bij de verwerking van persoonsgegevens.

Vraagt u zich af of en wanneer u persoonsgegevens verwerkt? Uitleg daarover leest u in het document 'Wanneer verwerk ik persoonsgegevens?'

AVG

De AVG bepaalt wat een persoonsgegeven is, wanneer u een persoonsgegeven wel of niet mag verwerken en wat de rechten zijn van de personen wiens persoonsgegevens worden verwerkt (de "betrokkenen"). Daarnaast geldt voor (sommige) datalekken een meldplicht.

U moet bovendien kunnen aantonen dat u zich aan de regels van de AVG houdt. Het enkele voldoen aan de AVG is niet meer genoeg: u moet het ook kunnen bewijzen. Dat brengt met zich mee dat u meer moet vastleggen dan voorheen het geval was. Zo moet u een verwerkingsregister bijhouden en in bepaalde gevallen een verwerkersovereenkomst sluiten.

Ook hebben betrokkenen rechten. U moet desgevraagd aan betrokkenen informatie verschaffen over de persoonsgegevens die u over hen verzamelt en verwerkt. Daarnaast en moet u actie ondernemen als u een verzoek krijgt tot bijvoorbeeld het wissen van persoonsgegevens of het beperken van de verwerking van die persoonsgegevens.

Oranje lijn

Hulpmiddelen bij implementatie AVG

Voor haar leden heeft de NBA een toolkit op het besloten deel van de website geplaatst. In deze toolkit vindt u een aantal handige hulpmiddelen die u kunnen helpen bij het treffen van de nodige maatregelen om uw praktijk "AVG-proof" te maken. Daarnaast bevat de toolkit praktische hulpmiddelen en tips en een uitgebreide uitleg over de AVG.

Oranje lijn

Voorbeeld verwerkersovereenkomsten

Binnen de AVG hebben de verwerker en de verwerkingsverantwoordelijke een andere rol. Omdat het beantwoorden van de vraag welke rol u heeft als accountant ingewikkeld kan lijken, adviseren wij om u eerst te verdiepen in de vraag: Ben ik verwerker of verwerkingsverantwoordelijke?.

De AVG verplicht de verwerkingsverantwoordelijke en de verwerker om onderling afspraken te maken over de verwerking van persoonsgegevens. Deze afspraken kunnen in een verwerkersovereenkomst worden opgenomen. Als u als dienstverlener zelf derden inschakelt dan moet u met die partijen mogelijk ook een verwerkersovereenkomst sluiten: namelijk in het geval dat deze partij (ook) verwerker is.

Onderstaand vindt u een aantal voorbeelden van verwerkersovereenkomsten. In de beschrijving aan de linkerkant leest u in welke situatie u het betreffende voorbeeld kunt gebruiken. Van de voorbeelden bestaat ook een Engelse versie.

Oranje lijn

Beschikbare voorbeeldovereenkomsten

Verwerkersovereenkomst (klant verantwoordelijke – accountant verwerker) Voorbeeld verwerkersovereenkomst AVG (EER en buiten EER)
Verwerkersovereenkomst (accountant verwerker, derde subverwerker) Voorbeeld verwerkersovereenkomst subverwerker AVG (EER en buiten EER)
Verwerkersovereenkomst (accountant verantwoordelijke – derde verwerker) Voorbeeld verwerkersovereenkomst AVG (EER en buiten EER) accountant verantwoordelijke
Overeenkomst verantwoordelijke – verantwoordelijke (zelfstandige verwerkingsverantwoordelijken) Voorbeeld overeenkomst verantwoordelijke - verantwoordelijke (zelfstandige verwerkingsverantwoordelijken)

Voorbeeldovereenkomsten in het Engels

Data Processing Agreement: Customer (Controller) - Accountant (Processor) GDPR Model Data Processing Agreement: Customer (Controller) - Accountant (Processor) GDPR
Data Processing Agreement: Accountant (processor) - third party (sub-processor) GDPR Model Data Processing Agreement: Accountant (processor) - third party (sub-processor) GDPR
Data Processing Agreement: Accountant (Controller) - third party (Processor) GDPR Model Data Processing Agreement: Accountant (Controller) - third party (Processor) GDPR

Transfer agreement: Customer (Controller) - Accountant (Controller) (separate Controllers, not joint)

Model Transfer agreement: Customer (Controller) - Accountant (Controller)(separate Controllers, not joint)

Meer informatie

Vragen ten aanzien van het onderwerp privacy kunt u stellen via de helpdesk. Ook telefonisch bereikbaar via 088 4960 340. Houdt u er rekening mee dat de Autoriteit Persoonsgegevens de toezichthoudende instantie is op het gebied van privacy, niet de NBA. Wij kunnen uw vragen mogelijk alleen in zeer algemene zin beantwoorden.