Verwerkersovereenkomst is niet vanzelfsprekend
Wanneer je persoonsgegevens uitwisselt met een derde is het niet vanzelfsprekend om hiervoor een verwerkersovereenkomst af te sluiten. Dit hangt samen met de manier waarop deze gegevens worden uitgewisseld.
Verwerkersovereenkomst
In een recent artikel schreef ik over de verwerkersovereenkomst. In dit artikel ga ik onder meer in op de situaties waarin er een dergelijke overeenkomst nodig is en sta ik stil bij de persoon van de “medeverantwoordelijke”. De afgelopen weken merk ik dat er verwerkersovereenkomsten te pas en te onpas worden aangeboden, ook in situaties waarbij dit niet nodig is. In dit artikel doorloop ik drie vormen van uitwisseling van persoonsgegevens zoals die binnen het bestek van de AVG voorkomen, te weten:
- het uitbesteding van persoonsgegevens aan een derde partij,
- samen gebruiken van persoonsgegevens met een andere partij,
- en het doorgeven van persoonsgegevens aan een derde partij.
Wanneer je verwerkingsverantwoordelijke bent en je wisselt persoonsgegevens uit met een derde is het niet direct vanzelfsprekend om hiervoor een verwerkersovereenkomst af te sluiten. Dit hangt samen met de manier waarop deze gegevens worden uitgewisseld. Een persoonsgegeven in de zin van de AVG is elk gegeven aan de hand waarvan een natuurlijke persoon direct of indirect geïdentificeerd kan worden. Hierbij kan worden gedacht aan gegevens zoals namen, adressen, telefoonnummers, geboortedata en dergelijke. Maar bijvoorbeeld ook een IP-adres is een persoonsgegeven doordat het mogelijk is om hiermee een natuurlijk persoon (indirect) te identificeren. Ik laat bijzondere persoonsgegevens kortheidshalve buiten beschouwing in dit artikel.
Uitbesteding van persoonsgegevens aan een derde partij
Om maar direct met een voorbeeld te beginnen. Stel, je hebt je ICT uitbesteed aan een hostingprovider. Hierdoor staat je data in “de cloud”. Deze data zal wellicht ook persoonsgegevens bevatten. De hostingprovider zal deze data op een of andere manier verwerken. Verwerking dient op grond van de AVG in de meest ruime zin van het woord te worden gezien en omvat iedere vorm van verzamelen, vastleggen, ordenen, gebruiken, verstrekken, verspreiden en ook het wissen of vernietigen van de persoonsgegevens.
Terug naar het voorbeeld van clouddienst. De hostingprovider wordt in dit voorbeeld beschouwd als verwerker. De verwerker is degene die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Het is in die gevallen, op grond van art. 28 AVG, verplicht een verwerkingsovereenkomst af te sluiten.
Samen gebruiken van persoonsgegevens met een andere partij
Om ook hier met een voorbeeld te beginnen wijs ik naar een recente uitspraak van het Europese Hof van justitie. In deze uitspraak is bepaald dat een beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien waar het gaat om de verwerking van persoonsgegevens.
Waar er bij het uitbesteden van persoonsgegevens aan een derde partij, één verwerkingsverantwoordelijke is aan te wijzen, zijn er hier meerdere partijen aan te wijzen die het doel en de middelen van een verwerking bepalen. Hierbij zijn zij beide voor het geheel aansprakelijk voor de gehele verwerking.
Controleer als verwerkingsverantwoordelijke steeds goed of je toeleverancier een verwerker is. In het geval de toeleverancier geen verwerker is, maar bijvoorbeeld een medeverantwoordelijke, dan dien je hierover hele andere afspraken te maken en kun je niet volstaan met het gebruik van een verwerkersovereenkomst. Medeverantwoordelijken zijn er onder de AVG aan gehouden om hun wederzijdse verplichtingen vast te leggen. Op grond van art. 26 AVG dient het duidelijk te zijn wat de onderlinge verhouding tussen de verwerkingsverantwoordelijken is. De kern van deze overeenkomst dient kenbaar te worden gemaakt aan de betrokken.
Ook in het geval van medeverantwoordelijkheid dient er dus een overeenkomst te worden opgesteld. Naast de verdeling van verantwoordelijkheden is het bijvoorbeeld raadzaam om afspraken te maken hoe partijen er samen voor zorgen dat zij aan de privacywetgeving voldoen. Dit vanuit de verantwoordelijk die je als partij hebt: iedere partij kan in deze situatie hoofdelijk worden aangesproken.
Doorgeven van persoonsgegevens aan een derde partij
Ook bij deze derde manier van uitwisseling een voorbeeld. Dit voorbeeld aan de hand van een recente circulaire die het verbond van verzekeraars aan haar leden heeft toegestuurd. In deze circulaire wordt aangegeven dat zowel de verzekeraar als de adviseur/bemiddelaar elk hun eigen dienstverlening bieden, waarvoor ieder voor de eigen situatie zelf bepaalt wat het doel en de middelen zijn van de gegevensverwerking. Er is geen sprake van dat de ene partij in opdracht van de andere partij persoonsgegevens verwerkt. Daarmee is duidelijk, zo stelt het verbond, dat er geen noodzaak bestaat om een verwerkersovereenkomsten tussen de partijen te sluiten. Dit zelfde kan bijvoorbeeld ook opgaan voor een woningcoöperatie die persoonsgegevens doorgeeft aan een extern onderhoudsbedrijf.
Bij het doorgeven van persoonsgegevens dient er te worden getoetst of deze doorgifte is toegestaan. Op grond van de AVG dient te worden gelet op zaken als proportionaliteit en subsidiariteit. Maar ook andere basisbeginselen uit de AVG komen hierbij om de hoek kijken zoals, daar zijn ze weer, de grondslag en de doelverbinding voor de doorgifte van de gegevens. De uitwisseling dient vervolgens transparant en veilig te gebeuren. Kortheidshalve laat ik ook hier de bijzondere persoonsgegevens buiten beschouwing.
Is er hierbij een overeenkomst nodig? Geen verwerkersovereenkomst, een andere vorm wellicht? De AVG schrijft dit niet direct voor. Het kan echter wel zinvol zijn om dit toch te doen. Op deze manier kunnen er afspraken worden gemaakt over zaken zoals de manier waarop de uitwisseling plaatsvindt (de beveiliging), over wie de betrokkenen informeert over de uitwisseling (de transparantie), etc. Daarnaast lijkt me het erg zinvol om op voorhand afspraken te maken over mogelijke aansprakelijkheid.
Kies de juiste overeenkomst
Ik kom tot de slotsom dat een verwerkersovereenkomst zeker niet in alle gevallen waarin er persoonsgegevens worden uitgewisseld nodig is. In het geval van medeverantwoordelijkheid is er weliswaar geen verwerkersovereenkomst vereist maar schrijft de AVG wel andere vereisten aan een overeenkomst voor. In de situatie van doorgifte wordt een overeenkomst niet voorgeschreven maar is dit desondanks zeer aan te bevelen. Let steeds goed op de wijze waarop persoonsgegevens worden uitgewisseld en handel daar steeds naar.