AP controleert op verwerkersovereenkomsten bij dertig organisaties

De Autoriteit Persoonsgegevens (AP) heeft bij dertig private organisaties opgevraagd welke afspraken zij hebben met andere partijen wanneer die voor hen persoonsgegevens verwerken. Volgens de Europese privacyregels moeten deze afspraken vastgelegd zijn in een zogeheten verwerkersovereenkomst. De AP heeft informatie opgevraagd bij bedrijven in onder meer de energiesector, media en handel.

Verwerkersovereenkomst

n de Europese privacyregels staat dat organisaties die persoonsgegevens verwerken een verwerkersovereenkomst moeten sluiten als ze samenwerken met andere partijen bij de verwerking van die persoonsgegevens. Dat is bijvoorbeeld nodig bij als zij IT-voorzieningen uitbesteden. Organisaties blijven er zelf verantwoordelijk voor dat persoonsgegevens goed beschermd zijn. Daarom mag een organisatie alleen verwerkers inschakelen die voldoende garanties bieden dat zij ook aan de wettelijke vereisten voldoen.

In de verwerkersovereenkomst moet staan hoe de bescherming en verwerking van persoonsgegevens is geregeld. In de verwerkersovereenkomst staat in ieder geval:

• welke gegevens worden verwerkt en voor hoe lang,
• wat de aard en het doel van de verwerking is,
• op welke manier de beveiliging van de gegevens is gewaarborgd.

Reeks van verkennende onderzoeken

Sinds de invoering van de Algemene Verordening gegevensbescherming (AVG) op 25 mei 2018 controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. Zo keek de AP eerder of overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken een functionaris voor de gegevensbescherming hebben. Ook deed de AP een verkennend onderzoek bij grote private organisaties om te onderzoeken of zij een register van verwerkingsactiviteiten bijhouden