Een verwerkersovereenkomst is een contract tussen een opdrachtgever (de verwerkingsverantwoordelijke) en een opdrachtnemer (de verwerker) dat vastlegt hoe persoonsgegevens worden behandeld. De AVG verplicht dit. Zodra jij als leverancier persoonsgegevens verwerkt namens een aanbestedende dienst, moet er een verwerkersovereenkomst zijn. Geen uitzondering.
In aanbestedingen voor ICT-diensten, HR-systemen, zorgoplossingen of communicatiediensten is het bijna altijd aan de orde. De opdrachtgever is wettelijk verplicht om te controleren of jij als verwerker voldoende waarborgen biedt. Dat doet hij deels via de aanbesteding zelf, maar ook via de contractuele afspraken.
Steeds vaker zie je verwerkersovereenkomsten als verplichte bijlage bij de inschrijving opduiken. Of ze worden meegestuurd als conceptovereenkomst die je bij gunning tekent. Wie er niet op is voorbereid, staat na de gunning voor verrassingen.
Want: een verwerkersovereenkomst is niet alleen administratie. Ze bepaalt ook jouw aansprakelijkheid. Als er een datalek optreedt en de afspraken in de overeenkomst zijn niet nageleefd, ben jij medeverantwoordelijk. De Autoriteit Persoonsgegevens kan boetes opleggen aan zowel de verwerkingsverantwoordelijke als aan jou als verwerker.
Dat maakt de inhoud van de overeenkomst relevant. Niet alleen of je hem tekent, maar wat erin staat.
Neem een aanbesteding voor een digitaal leerplatform voor een gemeente. De gemeente verwerkt via dat platform gegevens van medewerkers: trainingsresultaten, aanwezigheid, soms ook medische informatie bij re-integratietrajecten. Jij als leverancier host het platform en hebt toegang tot die data.
In de verwerkersovereenkomst moet dan minimaal staan: welke categorieën persoonsgegevens er worden verwerkt, hoe lang ze worden bewaard, welke beveiligingsmaatregelen jij treft, hoe subverwerkers (denk aan jouw cloudprovider) worden ingeschakeld en hoe datalekken worden gemeld. Die melding moet aan de opdrachtgever binnen 24 tot 72 uur plaatsvinden, afhankelijk van wat de overeenkomst zegt.
Een veelgemaakt fout: leveranciers tekenen de verwerkersovereenkomst klakkeloos en realiseren zich later dat ze afspraken hebben gemaakt over meldtermijnen die ze technisch gezien niet kunnen halen. Of dat ze subverwerkers hebben ingeschakeld zonder toestemming te vragen, wat contractbreuk oplevert.
Lees de verwerkersovereenkomst voor de inschrijfdeadline, niet na de gunning. Als bepalingen onhaalbaar zijn, stel dan vragen via de nota van inlichtingen. Opdrachtgevers zijn vaak bereid redelijke aanpassingen te doen als je concreet aangeeft wat er niet uitvoerbaar is.
Controleer of jouw eigen subverwerkers voldoen aan de eisen die de opdrachtgever stelt. Als je gebruik maakt van AWS of Azure als cloudprovider en de gemeente vraagt om opslag binnen de EU, moet je dat kunnen aantonen. Dat vraagt voorbereiding, geen improvisatie na gunning.
Stel een standaard verwerkersovereenkomst op die jij als leverancier hanteert. Als de opdrachtgever een eigen versie aandraagt, vergelijk die dan punt voor punt. Accepteer geen overeenkomst die jou verantwoordelijk maakt voor datalekken die buiten jouw invloedssfeer liggen.
Bron: Aanbestedingswet 2012
Bron: Aanbestedingswet 2012