Verwerkersovereenkomst binnen de AVG
Geef op tijd aandacht aan de verwerkersovereenkomst
Persoonsgegevens verwerken
Op het moment dat een toeleverancier de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid vallen van “een verantwoordelijke” komt de verwerkersovereenkomst om de hoek kijken. Deze situatie doet zich bijvoorbeeld voor bij sommige vormen van cloudcomputing, bij het laten voeren van de salarisverwerking door een accountant, etc.
Verwerkersovereenkomst
Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de bewerker (de leverancier). Je wordt als verwerkingsverantwoordelijke aangemerkt wanneer je persoonsgegevens verwerk. De bewerker is de organisatie die namens jou de persoonsgegevens verwerkt. Aan deze verwerkersovereenkomst worden diverse eisen gesteld.
Art. 14 lid 1 Wbp zegt hierover het volgende:
Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen.
In de algemene verordening gegevensverwerking (AVG) spreekt men overigens niet meer over bewerker maar verwerker. De bewerkingsovereenkomst gaat daarmee verwerkersovereenkomst heten.
Ter illustratie haal ik art. 28 lid 1 AVG hieronder aan:
Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
Extra aandacht voor de verwerkersovereenkomst
De komst van de AVG lijkt ervoor te zorgen dat de verwerkersovereenkomst extra aandacht krijgt terwijl de verplichting om (in voorkomende gevallen) over een dergelijke overeenkomst te beschikken al bestaat sinds de invoering van de Wet bescherming persoonsgegevens (Wbp). In de praktijk zie je nu situaties ontstaan waarbij zowel afnemers als leveranciers met verschillende modellen werken, veelal als addendum op een bestaande overeenkomst. Een verwerkersovereenkomst kan niet los worden gezien van de onderliggende overeenkomst. Het is dan ook zaak om goed te onderzoeken of de verwerkersovereenkomst in samenhang met de oorspronkelijke overeenkomst qua bepalingen en (algemene)voorwaarden in overeenstemming met elkaar zijn.
De overeenkomst
In tegenstelling van wat soms wordt gedacht, hoeft de verwerkersovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkersovereenkomst een integraal onderdeel te maken van de overeenkomst.
Art. 28 lid 3 AVG zegt over deze overeenkomst:
De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven (…).
Op grond van art. 28 lid 9 AVG dient deze overeenkomst in schriftelijke vorm (waaronder ook elektronisch is toegestaan) te worden opgesteld.
Grote verantwoordelijkheid
Zoals uit artikel 28 lid 1 AVG blijkt, dient een verwerkingsverantwoordelijke er zeker van te zijn dat de bewerker afdoende garanties biedt zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In art. 28 lid 3 AVG staan de eisen opgesomd die aan een verwerkersovereenkomst worden gesteld. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Dit uit zich ondermeer in art. 28 lid 4 AVG. Wanneer je als verwerker een andere verwerker in dienst neemt (de subverwerker) en deze tekort schiet in de nakoming dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk.
De AVG kent bovendien een boetebeding in het geval van een inbreuk op (ondermeer) art. 28 AVG. De administratieve boetes kunnen oplopen tot 10 miljoen euro of tot 2% van de wereldwijde jaaromzet van een onderneming.
Begin op tijd
Het is voor zowel de verwerkingsverantwoordelijke die persoonsgegevens verwerkt, als voor de bewerker ervan van belang dat er verwerkersovereenkomsten tot stand komen. Wacht hiermee niet te lang en zorg ervoor dat deze vóór 25 mei 2018 zijn overeengekomen.