Aansprakelijkheid binnen de AVG verwerkersovereenkomst
Op het moment dat je als verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker dan komt de (AVG) verwerkersovereenkomst om de hoek kijken. Waar moet je hierbij op letten en hoe zit het met de (beperking van) aansprakelijkheid?
Op het moment dat je als verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker dan komt de verwerkersovereenkomst om de hoek kijken. Waar moet je hierbij op letten en hoe zit het met de (beperking van) aansprakelijkheid?
Persoonsgegevens
Een persoonsgegeven in de zin van de AVG is elk gegeven aan de hand waarvan een natuurlijke persoon direct of indirect geïdentificeerd kan worden. Hierbij kan worden gedacht aan gegevens zoals namen, adressen, telefoonnummers, geboortedata en dergelijke. Maar bijvoorbeeld ook een IP-adres is een persoonsgegeven doordat het mogelijk is om hiermee een natuurlijk persoon (indirect) te identificeren.
Dan zijn er ook nog de bijzondere persoonsgegevens. Hierbij gaat het om gegevens zoals over het lidmaatschap van een vakbond, levensovertuiging, ras, politieke voorkeur en dergelijke. Deze bijzondere persoonsgegevens zijn in de AVG benoemd en mogen niet worden gebruikt tenzij daarvoor in de wet een uitzondering is gemaakt.
Verwerken
De AVG regelt de wijze waarop persoonsgegevens mogen worden verwerkt. Verwerking dient hierbij in de meest ruime zin van het woord te worden gezien en omvat iedere vorm van verzamelen, vastleggen, ordenen, gebruiken, verstrekken, verspreiden en ook het wissen of vernietigen van de persoonsgegevens.
De verwerkersovereenkomst
Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de verwerker (de leverancier). Je wordt als verwerkingsverantwoordelijke aangemerkt wanneer je persoonsgegevens verwerk. De verwerker is de organisatie die namens jou de persoonsgegevens verwerkt. Aan deze verwerkersovereenkomst worden diverse eisen gesteld.
Er zijn inmiddels vele “standaarden” van verwerkersovereenkomsten in omloop. Het is zaak om bij het toepassen van een standaard overeenkomst deze aan te passen aan de specifieke situatie afgestemd op de onderliggende dienstverleningsovereenkomst(en) en eventuele leveringsvoorwaarden. Bij nieuwe overeenkomsten kan de verwerkersovereenkomst, of beter gezegd de AVG compliancy, bij voorkeur worden meegenomen in de onderhandeling en worden geïntegreerd in bijvoorbeeld de dienstverleningsovereenkomst of de Service Level Agreement (SLA).
De verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is op grond van art. 4 AVG een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
De verwerker
De verwerker is degene (veelal een toeleverancier/ dienstverlener) die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Wanneer een verwerker tevens de persoonsgegevens voor eigen doeleinden verwerkt, is er voor dat deel sprake van medeverantwoordelijkheid.
Medeverantwoordelijke
Veelal is er één verantwoordelijke aan te wijzen per verwerking. Het is echter ook mogelijk dat het doel en de middelen van een verwerking door meerdere organisaties samen (zoals bijvoorbeeld de opdrachtgever en opdrachtnemer) wordt bepaald. In dat geval is er sprake van meerdere verantwoordelijken voor dezelfde verwerking. Controleer als verwerkingsverantwoordelijke steeds goed of je toeleverancier een verwerker is. In het geval de toeleverancier geen verwerker is, maar bijvoorbeeld een medeverantwoordelijke, dan dien je hierover hele andere afspraken te maken en kun je niet volstaan met het gebruik van een verwerkersovereenkomst. Medeverantwoordelijken zijn er onder de AVG aan gehouden om hun wederzijdse verplichtingen vast te leggen. Op grond van art.26 AVG dient het duidelijk te zijn wat de onderlinge verhouding tussen de verwerkingsverantwoordelijken is.
Hoe ga je als verwerkingsverantwoordelijke een verwerkersovereenkomst aan?
Zoals uit artikel 28 lid 1 AVG blijkt, dient een verwerkingsverantwoordelijke er zeker van te zijn dat de verwerker afdoende garanties biedt zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In art. 28 lid 3 AVG staan de eisen opgesomd die aan een verwerkersovereenkomst worden gesteld. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Dit uit zich onder meer in art. 28 lid 4 AVG. Wanneer je als verwerker een andere verwerker in dienst neemt (de sub-verwerker) en deze te kort schiet in de nakoming dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk.
Op grond van art. 28 AVG dien je binnen de verwerkersovereenkomst tenminste de volgende zaken af te spreken:
- het onderwerp en de duur van de verwerking;
- het doel en de aard van de verwerking;
- het soort persoonsgegevens waarop de verwerkersovereenkomst betrekking heeft;
- de categorieën van verwerking van de betreffende betrokkenen;
- de rechten en verplichtingen van de verwerkingsverantwoordelijke.
In tegenstelling van wat soms wordt gedacht, hoeft de verwerkersovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkersovereenkomst een integraal onderdeel te maken van de overeenkomst.
Waar moet je als verwerker op letten, welke eisen worden er door de AVG gesteld?
Ik noem hieronder een aantal in het oog springende vereisten waarmee de verwerker rekening dient te houden. Deze vereisten worden onder meer in art. 28 AVG genoemd.
Verwerkers mogen uitsluitend handelen in opdracht van de verantwoordelijke en de persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. Dit geldt ook met betrekking tot de doorgiften van persoonsgegevens aan een derde land of aan een internationale organisatie, tenzij er een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling is die hem tot verwerking verplicht. Wanneer deze situatie zich voordoet stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
De verwerker dient te waarborgen dat de “tot het verwerken van de persoonsgegevens gemachtigde personen” zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
Verwerkers dienen op grond van art. 32 AVG passende technische- en organisatorische beveiligingsmaatregelen te nemen die een passend beschermingsniveau bieden, rekening houdend met risico van de gegevensverwerking voor betrokkenen. Verwerkers dienen hiervoor een goede kennis te hebben inzake hun informatiesystemen en de typen van data die zij verwerken.
Je mag als verwerker niet zondermeer nieuwe sub-verwerkers inschakelen zonder dat er hiervoor toestemming is verkregen van de verantwoordelijke. In het geval van een algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke vooraf in over veranderingen inzake de toevoeging of vervanging van sub-verwerkers. Hierbij dient de verwerkingsverantwoordelijke de mogelijkheid te worden geboden om tegen de veranderingen bezwaar te maken.
De verwerker krijgt tevens een zorgplicht waarbij hij de verwerkingsverantwoordelijke bijstand dient te verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36. Het gaat hier om zaken zoals beveiliging, meldplicht datalekken, en uitvoeren van Data Protection Impact Assessments (DPIA). Zo moeten je als verwerker de verwerkingsverantwoordelijke “onverwijld op de hoogte stellen van een datalek”. De termijn voor onverwijld moet nog worden bepaald.
Daarnaast ben je als verwerker verplicht om je medewerking te verlenen bij een verzoek daartoe van de Autoriteit Persoonsgegevens (AP) in het kader van de uitoefening van diens taken. In bepaalde gevallen moet je als verwerker, voorafgaand aan de verwerking van persoonsgegevens, de AP consulteren of een Data Protection Impact Assessment uitvoeren (DPIA). In bepaalde situaties is het als verwerker noodzakelijk om zelf een Functionaris Gegevensbescherming (FG) aan te stellen. Dit is bijvoorbeeld het geval wanneer de verwerker een publieke organisatie is, wanneer er bij de verwerking sprake is van op grote schaal reguliere en systematische monitoring van betrokkenen of wanneer de primaire activiteit van de verwerking bestaat uit het op grote schaal verwerken van bijzondere persoonsgegevens.
Als verwerker dien je op voorhand een “exit-procedure” overeen te komen. Hierin spreek je op voorhand af hoe je na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, de persoonsgegevens wist of terugbezorgt, en bestaande kopieën verwijdert.
Als verwerker heb je een documentatieplicht. Als verwerker dien je hierdoor een register bij te houden van alle categorieën van verwerkingsactiviteiten die ten behoeve van een verwerkingsverantwoordelijke zijn verricht. Als verplichte onderdelen binnen het register noemt art. 30 AVG onder meer:
– de naam en de contactgegevens van de (sub-)verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt en indien van toepassing van de FG;
– de categorieën van verwerkingen die voor iedere verwerkingsverantwoordelijke zijn uitgevoerd;
– doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
– een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zoals genoemd in art. 32 lid 1.
Aansprakelijkheid
Op grond van art. 82 AVG heeft een betrokkene recht heeft op schadevergoeding, indien zijn gegevens in strijd met de AVG worden verwerkt. Het gaat hier om materiële- en immateriële schade. De verwerkingsverantwoordelijke of de verwerker is niet aansprakelijk wanneer hij kan bewijzen dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
In art. 82 lid 2 AVG is bepaald dat de verwerkingsverantwoordelijke aansprakelijk is voor de geleden schade van een betrokkene. De verwerkingsverantwoordelijke is eveneens aansprakelijk in de situatie dat de gegevens worden verwerkt door een verwerker. De verwerker is daarnaast ook zelfstandig aansprakelijk op grond van art. 82 AVG. Deze aansprakelijkheid is beperkt tot: “de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld”.
De verwerkingsverantwoordelijke en verwerker zijn onder de AVG hoofdelijk aansprakelijk. In de situatie waarin er meerdere verwerkingsverantwoordelijken of verwerkers bij eenzelfde verwerking zijn betrokken, kan de betrokkene iedere verwerkingsverantwoordelijke of verwerker voor de gehele schade aanspreken.
In een verwerkersovereenkomst wordt, zoals ik hiervoor al heb genoemd, onder meer geregeld op welke wijze een verwerker de persoonsgegevens dient te verwerken. Vaak zal de verwerkersovereenkomst ook bepalingen bevatten over de verdeling van de aansprakelijkheid. De AVG is dwingrechtelijk van aard waardoor er slechts aanvullende afspraken gemaakt kunnen worden die niet in strijd zijn met de AVG. De verdeling van de aansprakelijkheid tussen de verwekingsverantwoordelijke en verwerker volgt uit art. 82 AVG. Hierdoor bestaat er weinig ruimte om aanvullende afspraken te maken over de verdeling van aansprakelijkheid. De AVG verbiedt het verwerkingsverantwoordelijken en verwerkers in beginsel niet om onderling afspraken te maken over de verdeling van aansprakelijkheid en boetes. Onderlinge afspraken tussen verwerkers en verantwoordelijken hebben in ieder geval geen externe werking richting de AP of betrokkenen.
Omdat art. 82 AVG betrekking heeft op de aansprakelijkheidsverdeling in relatie tot de schade van een betrokkene is het bijvoorbeeld wel mogelijk om in de verwerkersovereenkomst afspraken te maken over de schade die een verwerkingsverantwoordelijke lijdt ten gevolge van het handelen van de verwerker. Het is zinvol om de toeleverancier/ dienstverlener in de verwerkersovereenkomst contractueel te verplichten om zich deugdelijk te verzekeren voor risico’s als gevolg van een schending van de privacywetgeving.
Bepalingen inzake de aansprakelijkheid en in het bijzonder de beperking hiervan is veelal maatwerk, afgestemd op onderliggende overeenkomsten en rekening houdend met algemene voorwaarden. Het is raadzaam om hiervoor nader advies in te winnen bij een jurist.