De verwerker

De rol van de verwerker binnen de AVG


De rol van de verwerker binnen de Algemene Verordening Gegevensbescherming (AVG)

De AVG nadert

In dit artikel ga ik specifiek in op de rol van de verwerker binnen de Algemene Verordening Gegevensbescherming (AVG). Wellicht doordat de datum van 25 mei dichterbij komt krijg ik steeds meer vragen over de verantwoordelijkheden en verplichtingen die een verwerker heeft ten opzichte van de verwerkingsverantwoordelijke. Bij de beantwoording van deze vraag kom je al snel op het pad van de verwerkingsovereenkomst. Zonder hierop al te diep in te gaan, stip ik in dit artikel de verwerkersovereenkomst aan om van daaruit verder in te gaan op de rol van de verwerker.

De verwerkersovereenkomst

Op het moment dat een verwerker de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid vallen van “een verantwoordelijke” dan komt de verwerkersovereenkomst om de hoek kijken. Deze situatie doet zich bijvoorbeeld voor bij sommige vormen van Cloud computing, bij het laten voeren van de salarisverwerking of de personeelsadministratie door een accountant, etc.

In de algemene verordening gegevensverwerking (AVG) spreekt men, anders dan binnen de wet bescherming persoonsgegevens (Wbp), overigens niet meer over bewerker maar over verwerker. De bewerkersovereenkomst gaat daarmee verwerkersovereenkomst heten. Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de verwerker (de leverancier). Je wordt als verwerkingsverantwoordelijke aangemerkt wanneer je persoonsgegevens verwerk. De verwerker is de organisatie die namens jou de persoonsgegevens verwerkt. Aan deze verwerkersovereenkomst worden in de AVG diverse eisen gesteld.

De verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is op grond van art. 4 AVG een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker

De verwerker is degene (veelal een toeleverancier/ dienstverlener) die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Wanneer een verwerker tevens de persoonsgegevens voor eigen doeleinden verwerkt, is er voor dat deel sprake van medeverantwoordelijkheid.

Hoe ga je als verantwoordelijke een verwerkersovereenkomst aan?

Zoals uit artikel 28 lid 1 AVG blijkt, dient een verwerkingsverantwoordelijke er zeker van te zijn dat de verwerker afdoende garanties biedt zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In art. 28 lid 3 AVG staan de eisen opgesomd die aan een verwerkersovereenkomst worden gesteld. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Dit uit zich onder meer in art. 28 lid 4 AVG. Wanneer je als verwerker een andere verwerker in dienst neemt (de sub-verwerker) en deze te kort schiet in de nakoming dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk.

Op grond van art. 28 AVG dient je binnen de verwerkersovereenkomst tenminste de volgende zaken af te spreken:

  • het onderwerp en de duur van de verwerking;
  • het doel en de aard van de verwerking;
  • het soort persoonsgegevens waarop de verwerkersovereenkomst betrekking heeft;
  • de categorieën van verwerking van de betreffende betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

In tegenstelling van wat soms wordt gedacht, hoeft de verwerkersovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkersovereenkomst een integraal onderdeel te maken van de overeenkomst.

Waar moet je als verwerker op letten, welke eisen worden er door de AVG gesteld?

De verwerkingsverantwoordelijke bepaalt het doel en middelen voor de verwerking en de verwerker handelt op basis van de instructies van de verwerkingsverantwoordelijke. Ik noem hieronder een aantal in het oog springende vereisten waarmee de verwerker rekening dient te houden. Deze vereisten worden onder meer in art. 28 AVG genoemd.

Verwerkers mogen uitsluitend handelen in opdracht van de verantwoordelijke en de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. Dit geldt ook met betrekking tot de doorgiften van persoonsgegevens aan een derde land of aan een internationale organisatie, tenzij er een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling is die hem tot verwerking verplicht. Wanneer deze situatie zich voordoet stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

De verwerker dient te waarborgen dat de “tot het verwerken van de persoonsgegevens gemachtigde personen” zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Verwerkers dienen op grond van art. 32 AVG passende technische- en organisatorische beveiligingsmaatregelen te nemen die een passend beschermingsniveau bieden, rekening houdend met risico van de gegevensverwerking voor betrokkenen. Verwerkers dienen hiervoor een goede kennis te hebben inzake hun informatiesystemen en de typen van data die zij verwerken.

Je mag als verwerker niet zonder meer nieuwe sub-bewerkers inschakelen zonder dat er hiervoor toestemming is verkregen van de verantwoordelijke. In het geval van een algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke vooraf in over veranderingen inzake de toevoeging of vervanging van sub-verwerkers. Hierbij dient de verwerkingsverantwoordelijke de mogelijkheid te worden geboden om tegen de veranderingen bezwaar te maken.

De verwerker krijgt tevens een zorgplicht waarbij hij de verwerkingsverantwoordelijke bijstand dient te verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36. Het gaat hier om zaken zoals beveiliging, meldplicht datalekken, en het uitvoeren Data Protection Impact Assessments  (DPIA). Zo moeten je als verwerker de verantwoordelijke “onverwijld op de hoogte stellen van een datalek”. De termijn voor onverwijld moet nog worden bepaald.

Daarnaast ben je als verwerker verplicht om medewerking te verlenen bij een verzoek daartoe van de Autoriteit Persoonsgegevens (AP) in het kader van de uitoefening van diens taken. In bepaalde gevallen moet je als verwerker, voorafgaand aan de verwerking van persoonsgegevens, de AP consulteren of een DPIA uitvoeren. In bepaalde situaties is het als verwerker noodzakelijk om zelf een Functionaris Gegevensbescherming (FG) aan te stellen. Dit is bijvoorbeeld het geval wanneer de bewerker een publieke organisatie is, wanneer er bij de verwerking sprake is van op grote schaal reguliere en systematische monitoring van betrokkenen of wanneer de primaire activiteit van de verwerking bestaat uit het op grote schaal verwerken van bijzondere persoonsgegevens.

Als verwerker dien je op voorhand een “exit-procedure” overeen te komen. Hierin spreek je op voorhand af hoe je na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, de persoonsgegevens wist of terugbezorgt, en bestaande kopieën verwijdert.

Als verwerker heb je in de meeste gevallen een documentatieplicht. Deze verplichting is niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens betreft. Een verwerking is al snel niet “incidenteel” waardoor je ook als verwerker al snel een documentatieplicht hebt.

Als verwerker dien je hierdoor een register bij te houden van alle categorieën van verwerkingsactiviteiten die ten behoeve van een verwerkingsverantwoordelijke zijn verricht. Als verplichte onderdelen binnen het register noemt art. 30 AVG onder meer:

  • de naam en de contactgegevens van de (sub-)verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt en indien van toepassing van de Functionaris gegevensbescherming (FG);
  • de categorieën van verwerkingen die voor iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zoals genoemd in art. 32 lid 1.

Aansprakelijkheid voor schade van de betrokkene

Uit artikel 82, lid 2 AVG volgt dat de verwerkingsverantwoordelijke aansprakelijk is voor de geleden schade van een betrokkene. De verwerkingsverantwoordelijke is op grond van dit artikel ook aansprakelijk wanneer de gegevens verwerkt worden door de verwerker. De verwerking geschiedt immers onder verantwoordelijkheid van deze verwerkingsverantwoordelijke. De verwerker is echter ook zelf aansprakelijk op grond van artikel 82 AVG. Die aansprakelijkheid beperkt zich op grond van lid 2 van dit artikel tot “de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld”. In de situatie waarbij er meerdere verwerkingsverantwoordelijken of verwerkers bij eenzelfde verwerking betrokken zijn, kan de betrokkene iedere verwerkingsverantwoordelijke of verwerker voor de volledige schade aanspreken. Dit op grond van art. 82 lid 4. Zowel de verwerkingsverantwoordelijke en verwerker zijn in deze situatie dus hoofdelijk aansprakelijk. Art. 82 lid 5 geeft hiertoe een regresrecht aan de betrokken partijen.

In artikel 37 lid 1 van de internetconsultatie tot het wetsvoorstel van de Uitvoeringswet AVG (UAVG) werd hierover opgenomen dat een verwerker even hard kan worden aangepakt als een verwerkingsverantwoordelijke. Dit artikel is niet overgenomen in de UAVG. De AVG kent een boetebeding in het geval van een inbreuk op (onder meer) art. 28 AVG. Deze (administratieve) boetes kunnen oplopen tot 10 miljoen euro of tot 2% van de wereldwijde jaaromzet van een onderneming. Indien een verwerker in strijd met de AVG handelt, wordt die verwerker onverminderd de artikelen 82, 83 en 84 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd. De boetes kunnen hierdoor uiteindelijk oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een onderneming.

Naar ik verwacht zullen er de komende tijd heel wat overeenkomsten voorbij komen waarin de beperking van aansprakelijkheid aan bod zal komen. De AVG is van zogenaamd dwingend recht en een verdeling van de aansprakelijkheid volgt al uit art. 82 AVG. Hierdoor is de ruimte om bepalingen omtrent aansprakelijkheid te kunnen maken, specifiek waar het gaat om de aansprakelijkheidsverdeling tussen de verwerkingsverantwoordelijke en de verwerker in relatie tot schade van de betrokkene, slechts beperkt.