Autoriteit controleert 30 bedrijven op verwerkersovereenkomst

De Autoriteit Persoonsgegevens heeft bij 30 organisaties in de energiesector, media en handel verwerkersovereenkomsten opgevraagd in verband met de naleving van de Algemene Verordening Gegevensbescherming (AVG).

Bij de 30 private organisaties zijn specifiek verwerkersovereenkomsten gecontroleerd omdat in de Europese privacyregels staat dat organisaties die persoonsgegevens verwerken een verwerkersovereenkomst moeten sluiten als ze samenwerken met andere partijen bij de verwerking van die persoonsgegevens. Dat is bijvoorbeeld nodig bij als zij IT-voorzieningen uitbesteden.

Hoe de gecontroleerde organisaties het ervan af brachten, is niet bekend. Eerder deed de AP al onderzoek bij overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken of zij een functionaris gegevensbescherming (FG) hebben.

Regels

Overigens moet in een verwerkersovereenkomst staan hoe de bescherming en verwerking van persoonsgegevens is geregeld. Daaronder valt onder meer:
– welke gegevens worden verwerkt en voor hoe lang,
– wat de aard en het doel van de verwerking is,
– op welke manier de beveiliging van de gegevens is gewaarborgd.