Wanneer is er een verwerkersovereenkomst nodig?

Wanneer moet je een verwerkersovereenkomst afsluiten?


Je herkent het vast wel; sinds de invoering van de AVG worden we regelmatig geconfronteerd met tal van verwerkersovereenkomsten. De kans is groot dat het aangaan van deze overeenkomsten in een aantal gevallen niet nodig is geweest. Vaak zijn de contractpartijen namelijk zelfstandige verwerkingsverantwoordelijken. Soms is het daarom beter om een andere overeenkomst af te sluiten.

Geschatte leestijd: 6 minuten

Een verwerkersovereenkomst om aan de AVG te voldoen

Het lijkt erop alsof er bijna geen enkele organisatie meer is die niet te pas en te onpas wordt gevraagd om een verwerkersovereenkomst aan te gaan. Waarom? Om aan de AVG te voldoen! Om “aan de AVG te willen voldoen” worden er op grote schaal verwerkersovereenkomsten toegezonden aan organisaties waarmee persoonsgegevens worden gedeeld. Ook in de gevallen waarin helemaal geen verwerkersovereenkomst hoeft te worden gesloten, zo blijkt uit de praktijk

In dit artikel doorloop ik drie vormen van uitwisseling van persoonsgegevens zoals die binnen het bestek van de AVG voorkomen, te weten:

  • het uitbesteden van persoonsgegevens aan een derde partij,
  • samen gebruiken van persoonsgegevens met een andere partij,
  • en het doorgeven van persoonsgegevens aan een derde partij.

Wanneer je verwerkingsverantwoordelijke bent en je wisselt persoonsgegevens uit met een derde is het niet direct vanzelfsprekend om hiervoor een verwerkersovereenkomst af te sluiten. Alleen als je de opdrachtnemer kwalificeert als verwerker is er een dergelijke overeenkomst nodig. Dit hangt samen met de manier waarop deze gegevens worden uitgewisseld. Oh ja, en wat is een persoonsgegeven ook al weer? Een persoonsgegeven in de zin van de AVG is elk gegeven aan de hand waarvan een natuurlijke persoon direct of indirect geïdentificeerd kan worden. Hierbij kan worden gedacht aan gegevens zoals namen, adressen, telefoonnummers, geboortedata en dergelijke. Maar bijvoorbeeld ook een IP-adres is een persoonsgegeven doordat het mogelijk is om hiermee een natuurlijk persoon (indirect) te identificeren. Ik laat bijzondere persoonsgegevens kortheidshalve buiten beschouwing in dit artikel.

Uitbesteding van persoonsgegevens aan een derde partij

Om maar direct met een voorbeeld te beginnen. Stel, je hebt je ICT uitbesteed aan een hostingprovider. Hierdoor staat je data in “de cloud”. Deze data zal wellicht ook persoonsgegevens bevatten. De hostingprovider zal deze data op een of andere manier verwerken. Verwerking dient op grond van de AVG in de meest ruime zin van het woord te worden gezien en omvat iedere vorm van verzamelen, vastleggen, ordenen, gebruiken, verstrekken, verspreiden en ook het wissen of vernietigen van de persoonsgegevens.

Terug naar het voorbeeld van clouddienst. De hostingprovider in dit voorbeeld kun je beschouwen als verwerker. De verwerker is degene die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Het is in die gevallen, op grond van art. 28 AVG, verplicht een verwerkingsovereenkomst af te sluiten.

Samen gebruiken van persoonsgegevens met een andere partij

Om ook hier met een voorbeeld te beginnen wijs ik naar een uitspraak van het Europese Hof van justitie. In deze uitspraak is bepaald dat een beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien waar het gaat om de verwerking van persoonsgegevens.

Waar er bij het uitbesteden van persoonsgegevens aan een derde partij, één verwerkingsverantwoordelijke is aan te wijzen, zijn er hier meerdere partijen aan te wijzen die het doel en de middelen van een verwerking bepalen. Hierbij zijn zij beide voor het geheel aansprakelijk voor de gehele verwerking.

Controleer als verwerkingsverantwoordelijke steeds goed of je toeleverancier een verwerker is. In het geval de toeleverancier geen verwerker is, maar bijvoorbeeld een medeverantwoordelijke, dan dien je hierover hele andere afspraken te maken en kun je niet volstaan met het gebruik van een verwerkersovereenkomst. Medeverantwoordelijken zijn er onder de AVG aan gehouden om hun wederzijdse verplichtingen vast te leggen. Op grond van art. 26 AVG dient het duidelijk te zijn wat de onderlinge verhouding tussen de verwerkingsverantwoordelijken is. De kern van deze overeenkomst dien je kenbaar te maken aan de betrokken.

Ook in het geval van medeverantwoordelijkheid dient er dus een overeenkomst te worden opgesteld. Naast de verdeling van verantwoordelijkheden is het bijvoorbeeld raadzaam om afspraken te maken hoe partijen er samen voor zorgen dat zij aan de privacywetgeving voldoen. Dit vanuit de verantwoordelijk die je als partij hebt: iedere partij kan in deze situatie hoofdelijk worden aangesproken.

Doorgeven van persoonsgegevens aan een derde partij

Ook bij deze derde manier van uitwisseling een voorbeeld. Dit voorbeeld aan de hand van een circulaire die het verbond van verzekeraars aan haar leden heeft toegestuurd. In deze circulaire wordt aangegeven dat zowel de verzekeraar als de adviseur/bemiddelaar elk hun eigen dienstverlening bieden, waarvoor ieder voor de eigen situatie zelf bepaalt wat het doel en de middelen zijn van de gegevensverwerking. Er is geen sprake van dat de ene partij in opdracht van de andere partij persoonsgegevens verwerkt. Daarmee is duidelijk, zo stelt het verbond, dat er geen noodzaak bestaat om een verwerkersovereenkomsten tussen de partijen te sluiten. Dit zelfde kan bijvoorbeeld ook opgaan voor een woningcoöperatie die persoonsgegevens doorgeeft aan een extern onderhoudsbedrijf.

Bij het doorgeven van persoonsgegevens moet je toetsen of deze doorgifte is toegestaan. Op grond van de AVG dien je te letten op zaken als proportionaliteit en subsidiariteit.  Maar ook andere basisbeginselen uit de AVG komen hierbij om de hoek kijken zoals, daar zijn ze weer, de grondslag en de doelverbinding voor de doorgifte van de gegevens. De uitwisseling dient vervolgens transparant en veilig te gebeuren. Kortheidshalve laat ik ook hier de bijzondere persoonsgegevens buiten beschouwing.

Is er hierbij een overeenkomst nodig? Geen verwerkersovereenkomst, een andere vorm wellicht? De AVG schrijft dit niet direct voor. Het kan echter wel zinvol zijn om dit toch te doen. Daarnaast lijkt me het erg zinvol om op voorhand afspraken te maken over mogelijke aansprakelijkheid.

Een verwerkersovereenkomst of toch niet?

Ik kom tot de slotsom dat een verwerkersovereenkomst zeker niet in alle gevallen nodig is. In het geval van medeverantwoordelijkheid is er weliswaar geen verwerkersovereenkomst vereist maar schrijft de AVG wel andere vereisten aan een overeenkomst voor. In de situatie van doorgifte wordt een overeenkomst niet voorgeschreven maar is dit desondanks zeer aan te bevelen. Let goed op de wijze waarop je persoonsgegevens uitwisselt en handel daar steeds naar.

Meer weten?

Heb je nog vragen over verwerkersovereenkomsten of over privacyvragen in het algemeen, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.