Verwerkersovereenkomst (VWO)

Een verwerkersovereenkomst (VWO) is een juridisch bindend document dat vereist is onder de Algemene Verordening Gegevensbescherming (AVG). Volgens de AVG heeft jouw organisatie de rol van ‘verwerkingsverantwoordelijke’, terwijl je e‑mail service provider (ESP), zoals bijvoorbeeld Spotler Mail+ of MailPro, de rol van ‘verwerker’ heeft.

Zodra jouw organisatie een verwerker inschakelt om persoonsgegevens te verwerken, ben je verplicht om met deze verwerker een verwerkersovereenkomst af te sluiten. Dit geldt ook wanneer persoonsgegevens via een derde partij in je e‑mail marketing software terechtkomen; in dat geval is een verwerkersovereenkomst met die derde partij eveneens noodzakelijk.

De AVG stelt specifieke eisen aan de inhoud van een verwerkersovereenkomst om ervoor te zorgen dat de verwerking van persoonsgegevens op een veilige en verantwoorde manier plaatsvindt. Het doel van de VWO is om duidelijke afspraken te maken over hoe de persoonsgegevens worden behandeld en welke verantwoordelijkheden zowel de verwerkingsverantwoordelijke als de verwerker hebben.

Wat moet er in een verwerkersovereenkomst staan?

De verwerkersovereenkomst moet een aantal onderdelen bevatten, waaronder:

• Inzet en doel van gegevensverwerking: Het document moet specificeren hoe de persoonsgegevens van contacten worden ingezet en met welk doel. Dit zorgt ervoor dat er duidelijkheid is over de verwerking en dat deze alleen plaatsvindt binnen de grenzen die de verwerkingsverantwoordelijke heeft gesteld.
• Beveiligingsmaatregelen: De overeenkomst moet vastleggen dat de verwerker verantwoordelijk is voor het nemen van alle noodzakelijke technische en organisatorische beveiligingsmaatregelen om de persoonsgegevens te beschermen. Dit omvat bijvoorbeeld het versleutelen van data en het implementeren van toegangscontroles.
• Assistentie bij datalekken: De verwerker moet ook verplicht worden om assistentie te verlenen bij het melden van datalekken en andere incidenten. Dit houdt in dat de verwerker snel en doeltreffend moet reageren om verdere schade te voorkomen en om te voldoen aan de meldplicht zoals die door de AVG wordt vereist.