De verwerkersovereenkomst

In het 2e deel van deze korte serie over de Algemene Verordening Gegevensbescherming (AVG), gaan we nader in op de ‘verwerkersovereenkomst’.

Wat is een verwerkersovereenkomst?

Zodra een organisatie verwerking van persoonsgegevens uitbesteedt, moeten er volgens de AVG afspraken worden gemaakt over de verwerking. Die afspraken moeten ‘schriftelijk’ worden gemaakt. Het document waarin deze afspraken worden vastgelegd noemen we een ‘verwerkersovereenkomst’. De verwerkersovereenkomst legt dus de afspraken vast die zien op het privacy-aspect van het werk dat de verwerker verricht. Het doel van deze verwerkersovereenkomst is dat partijen goed nadenken over de gegevensverwerking(en) die in de samenwerking worden verricht en wie welke taken op zich zal nemen. Daarbij staat vast dat de verantwoordelijke inzicht en grip moet hebben op hetgeen de verwerker gaat doen en moet voorkomen dat persoonsgegevens onzorgvuldig worden gebruikt.

Wanneer moet u een verwerkersovereenkomst sluiten en met wie?

Iedere onderneming schakelt hulp in bij de verwerkingen die zij doet. Denk bijvoorbeeld aan uw boekhouder die voor u de loonadministratie verwerkt of uw ICT dienstverlener. Deze partijen krijgen dan persoonsgegevens die zij in opdracht van u verwerken. Het verwerken van persoonsgegevens door een derde wordt door de AVG wel toegestaan, maar hier worden wel strenge voorwaarden aan gesteld. Vooraleer u toekomt aan het opstellen van de verwerkersovereenkomst dient u eerst vast te stellen welke rol u invult: bent u verwerker of (verwerkers)verantwoordelijke?

Wanneer is iemand (verwerkers)verantwoordelijke?

In de AVG zijn een hoop verplichtingen opgenomen die worden oplegd aan organisaties die te beschouwen zijn als verwerkingsverantwoordelijke. Onder de oude wetgeving werd een verwerkingsverantwoordelijke een ‘verantwoordelijke’ genoemd. In de AVG wordt een verwerkingsverantwoordelijke omschreven als: ’’een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’’. Met andere woorden: indien u zelf bepaalt of u voor het uitvoeren van uw taken persoonsgegevens nodig heeft, het doel van de verwerking bepaalt (bijvoorbeeld salarisadministratie) en de wijze waarop deze gegevens worden verwerkt (salarispakket X), dan bent u de verantwoordelijke voor deze gegevens.

Concrete voorbeelden van verantwoordelijken zijn: werkgevers, advocaten, zorgverleners, accountants, notarissen, hotels, verzekeringstussenpersoon, Whatsapp, winkelketens met klantenkaarten, etc.

Wanneer is iemand verwerker?

Een verwerker is een derde die in opdracht van de verantwoordelijke, persoonsgegevens verwerkt en daarbij niet zelf het doel en de middelen van de verwerking bepaalt. In de praktijk zijn de meeste verwerkers wat actiever. Zo bepaalt een boekhouder vaak welke software gebruikt wordt voor de salarisadministratie of voor de boekhouding. Dat maakt het vaak lastig om te bepalen of iemand verwerker is of verantwoordelijke. Bij het vaststellen wie de verantwoordelijke is en wie de verwerker is, geeft het antwoord op de vraag: wie beslist eruit eindelijk wat er met de persoonsgegevens gedaan wordt, uiteindelijk de doorslag.

Relevante factoren waar op getoetst wordt zijn onder andere:

  • Mate van zeggenschap
  • Aard van de dienstverlening
  • Contractuele bepalingen
  • Transparantie van de dienstverlening

Het is overigens niet zo dat iedere derde die u een opdracht verstrekt, automatisch een verwerker is. Indien de opdrachtnemer zelf bepaalt hoe hij de opdracht uitvoert, is hij gewoon een verantwoordelijke. Let altijd op bij het verstrekken van de gegevens aan een derde of u hiervoor een grondslag heeft!

Concrete voorbeelden van verwerkers zijn: boekhouders, callcenters, koeriersbedrijf, clouddienstverlener, ICT dienstverlener, beveiligingsbedrijf, etc.

Het sluiten van de verwerkersovereenkomst

Indien u met een verwerker samenwerkt en geen verwerkersovereenkomst heeft gesloten, kunnen beide partijen onder de AVG een hoge boete verwachten. Het is dus in belang van zowel de verwerker als de verantwoordelijke om een verwerkersovereenkomst te sluiten. Dat gezegd hebbende, hebben veel partijen de overtuiging dat de verwerkersovereenkomst een separaat document dient te zijn. Deze opvatting is echter geen verplichting die volgt uit de AVG. De AVG zegt enkel dat partijen schriftelijk afspraken moeten vastleggen over de verwerking van persoonsgegevens. Dit betekent dat de bepalingen van de verwerkersovereenkomst ook in de overeenkomst van opdracht mogen staan. Een bekend risico van het opnemen van de bepalingen in een aparte verwerkersovereenkomst is dat onvoldoende wordt gekeken naar de inhoud van de verwerkersovereenkomst in relatie tot de hoofdovereenkomst. Indien er later een conflict ontstaat en er bestaat een tegenstrijdigheid tussen de hoofdovereenkomst en de verwerkersovereenkomst is niet duidelijk welke bepalingen nu voorgaan. Het is daarom raadzaam om een specialist naar uw contracten te laten kijken en indien mogelijk de bepalingen van de verwerkersovereenkomst op te nemen in de hoofdovereenkomst.

Is een verwerkingsovereenkomst altijd nodig?

Nee, het gaat erom dat er tussen partijen afspraken worden gemaakt over de verwerking van persoonsgegevens en dat deze afspraken op de een of andere manier schriftelijk worden vastgelegd. Dat hoeft niet in een apart document, maar kan bijvoorbeeld ook heel goed worden verwerkt in de hoofdovereenkomst, algemene voorwaarden en/of een service level agreement.

Een verwerkersovereenkomst staat nooit op zichzelf en hangt altijd samen met de dienst die wordt geleverd. Het is daarom van belang de verwerkersovereenkomst onderdeel te maken van de hoofdovereenkomst (bijvoorbeeld door het daar als bijlage bij te voegen).

Waar geldt de AVG?

De AVG geldt in de gehele Europese Unie, plus Noorwegen, Liechtenstein en IJsland (gezamenlijk de EER). Werkt u samen met bedrijven of instellingen in die landen, dan is er niets aan de hand. Maar gaat u buiten de EER, dan moet u nagaan of deze landen veilig zijn voordat u überhaupt zaken aan deze partijen gaat uitbesteden.

Op dit moment is door de EU als veilige landen aangemerkt:

  • Andorra
  • Argentinië
  • Canada (met restrictie!)
  • De Faeröer Eilanden
  • Guernsey
  • Israël
  • Isle of Man
  • Uruguay
  • De VS (met restrictie!)

Ik zie u al naar het lijstje kijken en u realiseren dat het Verenigd Koninkrijk (VK) in deze lijst ontbreekt. Dit heeft te maken met de aanstaande Brexit. Het is nog niet duidelijk of het VK na de Brexit tot de EER gaat behoren of dat er een aparte erkenning moet plaatsvinden. Dit laatste kost aardig wat tijd. Het is dus van belang om enige zorg te betrachten ten aanzien van het verwerken van persoonsgegevens in het VK. Alles hangt af van de regelingen die het VK zal implementeren op de datum van de Brexit.

Dus voor de partijen die nog niet begonnen zijn met de implementatie van de AVG: ermee beginnen is al een stap in de juiste richting. Meldt u daarom aan voor onze kennissessie op 23 mei 2018!

Heeft u vragen over de verwerkersovereenkomst of wenst u advies bij het opstellen ervan? Aarzel dan niet om contact op te nemen met mr. Britt Robijns 045-2080909 / robijns@cogens.nl

Geef een reactie