De Autoriteit Persoonsgegevens (AP) heeft bij dertig private organisaties nagevraagd of zij afspraken hebben met andere partijen die voor hen persoonsgegevens verwerken. Deze afspraken moeten volgens de Algemene Verordening Gegevensbescherming (AVG) in een verwerkersovereenkomst zijn vastgelegd.
De AP heeft informatie opgevraagd bij bedrijven in onder meer de energiesector, media en handel.
In de AVG staat dat organisaties die persoonsgegevens verwerken een verwerkersovereenkomst moeten sluiten als ze samenwerken met andere partijen bij het verwerken van deze persoonsgegevens. Dat is bijvoorbeeld vereist bij het uitbesteden van IT-voorzieningen. Organisaties blijven zelf verantwoordelijk voor de juiste bescherming van de persoonsgegevens. Een organisatie mag alleen verwerkers inschakelen die voldoende garanderen dat zij aan de wettelijke vereisten voldoen.
In de verwerkersovereenkomst moet staan hoe de bescherming en verwerking van persoonsgegevens is geregeld. In de verwerkersovereenkomst staat in ieder geval:
Sinds de invoering van de AVG op 25 mei 2018 controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. De AP keek eerder of overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken een functionaris voor de gegevensbescherming hebben. Ook deed de AP een verkennend onderzoek bij grote private organisaties om te onderzoeken of zij een register van verwerkingsactiviteiten bijhouden.
Over de auteur