De verwerker

De rol van de verwerker binnen de AVG


De rol van de verwerker en de verwerkersovereenkomst

Verwerking

Op het moment dat een verwerker de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid vallen van “een verantwoordelijke” dan komt de verwerkersovereenkomst om de hoek kijken. Deze situatie doet zich bijvoorbeeld voor bij sommige vormen van Cloud computing, bij het laten voeren van de salarisverwerking of de personeelsadministratie door een accountant, etc.

De verwerkersovereenkomst

In de algemene verordening gegevensverwerking (AVG) spreekt men, anders dan binnen de wet bescherming persoonsgegevens (Wbp), overigens niet meer over bewerker maar over verwerker. De bewerkersovereenkomst gaat daarmee verwerkersovereenkomst heten. Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de verwerker (de leverancier). Je wordt als verwerkingsverantwoordelijke aangemerkt wanneer je persoonsgegevens verwerkt. De verwerker is de organisatie die namens jou de persoonsgegevens verwerkt. Aan deze verwerkersovereenkomst worden diverse eisen gesteld.

De verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is op grond van art. 4 AVG een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker

De verwerker is degene (veelal een toeleverancier/ dienstverlener) die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Wanneer een verwerker tevens de persoonsgegevens voor eigen doeleinden verwerkt, is er voor dat deel sprake van medeverantwoordelijkheid.

Hoe ga je als verantwoordelijke een verwerkersovereenkomst aan?

Zoals uit artikel 28 lid 1 AVG blijkt, dient een verwerkingsverantwoordelijke er zeker van te zijn dat de verwerker afdoende garanties biedt zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In art. 28 lid 3 AVG staan de eisen opgesomd die aan een verwerkersovereenkomst worden gesteld. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Dit uit zich onder meer in art. 28 lid 4 AVG. Wanneer je als verwerker een andere verwerker in dienst neemt (de sub-verwerker) en deze te kort schiet in de nakoming dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk.

Op grond van art. 28 AVG dient je binnen de verwerkersovereenkomst tenminste de volgende zaken af te spreken:

  • het onderwerp en de duur van de verwerking;
  • het doel en de aard van de verwerking;
  • het soort persoonsgegevens waarop de verwerkersovereenkomst betrekking heeft;
  • de categorieën van verwerking van de betreffende betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

In tegenstelling van wat soms wordt gedacht, hoeft de verwerkersovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkers overeenkomst een integraal onderdeel te maken van de overeenkomst.

Waar moet je als verwerker op letten, welke eisen worden er door de AVG gesteld?

Ik noem hieronder een aantal in het oog springende vereisten waarmee de verwerker rekening dient te houden. Deze vereisten worden onder meer in art. 28 AVG genoemd.

Verwerkers mogen uitsluitend handelen in opdracht van de verantwoordelijke en de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. Dit geldt ook met betrekking tot de doorgiften van persoonsgegevens aan een derde land of aan een internationale organisatie, tenzij er een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling is die hem tot verwerking verplicht. Wanneer deze situatie zich voordoet stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

De verwerker dient te waarborgen dat de “tot het verwerken van de persoonsgegevens gemachtigde personen” zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Verwerkers dienen op grond van art. 32 AVG passende technische- en organisatorische beveiligingsmaatregelen te nemen die een passend beschermingsniveau bieden, rekening houdend met risico van de gegevensverwerking voor betrokkenen. Verwerkers dienen hiervoor een goede kennis te hebben inzake hun informatiesystemen en de typen van data die zij verwerken.

Je mag als verwerker niet zonder meer nieuwe sub-bewerkers inschakelen zonder dat er hiervoor toestemming is verkregen van de verantwoordelijke. In het geval van een algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke vooraf in over veranderingen inzake de toevoeging of vervanging van sub-verwerkers. Hierbij dient de verwerkingsverantwoordelijke de mogelijkheid te worden geboden om tegen de veranderingen bezwaar te maken.

De verwerker krijgt tevens een zorgplicht waarbij hij de verwerkingsverantwoordelijke bijstand dient te verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36. Het gaat hier om zaken zoals beveiliging, meldplicht datalekken, en uitvoeren PIA. Zo moeten je als verwerker de verantwoordelijke “onverwijld op de hoogte stellen van een datalek”. De termijn voor onverwijld moet nog worden bepaald.

Daarnaast ben je als verwerker verplicht om medewerking te verlenen bij een verzoek daartoe van de Autoriteit Persoonsgegevens (AP) in het kader van de uitoefening van diens taken. In bepaalde gevallen moet je als verwerker, voorafgaand aan de verwerking van persoonsgegevens, de AP consulteren of een Privacy Impact Assessment uitvoeren. In bepaalde situaties is het als verwerker noodzakelijk om zelf een Data Protection Officer (DPO) aan te stellen. Dit is bijvoorbeeld het geval wanneer de bewerker een publieke organisatie is, wanneer er bij de verwerking sprake is van op grote schaal reguliere en systematische monitoring van betrokkenen of wanneer de primaire activiteit van de verwerking bestaat uit het op grote schaal verwerken van bijzondere persoonsgegevens.

Als verwerker dien je op voorhand een “exit-procedure” overeen te komen. Hierin spreek je op voorhand af hoe je na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, de persoonsgegevens wist of terugbezorgt, en bestaande kopieën verwijdert.

Als verwerker heb je een documentatieplicht. Als verwerker dien je hierdoor een register bij te houden van alle categorieën van verwerkingsactiviteiten die ten behoeve van een verwerkingsverantwoordelijke zijn verricht. Als verplichte onderdelen binnen het register noemt art. 30 AVG onder meer:

  • de naam en de contactgegevens van de (sub-)verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt en indien van toepassing van de DPO;
  • de categorieën van verwerkingen die voor iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zoals genoemd in art. 32 lid 1.

Boetebeding voor verwerkers

De AVG kent een boetebeding in het geval van een inbreuk op (onder meer) art. 28 AVG. Deze administratieve boetes kunnen oplopen tot 10 miljoen euro of tot 2% van de wereldwijde jaaromzet van een onderneming. Indien een verwerker in strijd met de AVG handelt, wordt die verwerker onverminderd de artikelen 82, 83 en 84 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd. De boetes kunnen hierdoor uiteindelijk oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een onderneming.

In artikel 37 lid 1 van het wetsvoorstel van de Uitvoeringswet AVG is hierover opgenomen dat een verwerker even hard kan worden aangepakt als een verwerkingsverantwoordelijke. Wanneer de verwerker in strijd handelt met het bij of krachtens de AVG bepaalde en een ander daardoor schade lijdt of dreigt te leiden, kan de rechter hem op vordering van die ander zodanig gedrag verbieden en hem bevelen maatregelen te treffen tot herstel van de gevolgen van het gedrag.

Kortom: een stevige stok achter de AVG-deur!