Is een verwerkersovereenkomst verplicht bij opslaan in de cloud?

Publicatiedatum 17 juli 2019

Voldoet onze administratie aan de AVG als wij onze gegevens in de cloud opslaan en moet ik dan ook een verwerkersovereenkomst sluiten?

Uw onderneming kan de verwerking van persoonsgegevens uitbesteden aan een verwerker. Dan is het volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om een verwerkersovereenkomst te sluiten met de andere partij.

Dataverwerking van clouddiensten

Als u uw administratie in de cloud heeft staan bij bijvoorbeeld Google of Microsoft, dan bent u als gebruiker eerder akkoord gegaan met de voorwaarden die gelden voor dataverwerking van de clouddiensten. Vaak sluit u een overeenkomst met een Europese dochter van het Amerikaanse bedrijf. Hiermee heeft u dus voldaan aan de eis uit de AVG om een verwerkersovereenkomst te sluiten. Het is dan niet nodig om een aparte verwerkersovereenkomst met Google of Microsoft te sluiten. 

EU-VS-privacyschild

Er zijn verschillen tussen de Europese AVG en de privacywetgeving in de VS. Zo bestaat daar lokaal de plicht om toegang te geven tot clouddata als dit verzocht wordt. Vooralsnog geldt dit alleen voor data in de VS, niet voor data via een dochter in de EU. De autoriteiten sluiten de wetgeving op elkaar aan door een EU-VS- privacyschild, een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt. Partijen als Google en Microsoft updaten hun gebruikersvoorwaarden.