Welke eisen stelt de AVG aan de verwerkersovereenkomst?
De eisen die de AVG stelt aan de verwerkersovereenkomst.
Geschatte leestijd: 6 minuten
Persoonsgegevens
Op het moment dat een verwerker (veelal een toeleverancier/ dienstverlener) de beschikking krijgt over persoonsgegevens die onder de verantwoordelijkheid vallen van “een verantwoordelijke” dan komt de verwerkersovereenkomst om de hoek kijken. Deze situatie doet zich bijvoorbeeld voor bij sommige vormen van Cloud computing, bij het laten voeren van de salarisverwerking of de personeelsadministratie door een accountant, etc.
De verwerkersovereenkomst
Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de verwerker (de leverancier). Je wordt als verwerkingsverantwoordelijke aangemerkt op het moment dat je persoonsgegevens verwerk. De verwerker is de organisatie die namens jou de persoonsgegevens verwerkt. Aan deze verwerkersovereenkomst worden diverse eisen gesteld.
De verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is op grond van art. 4 AVG een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
De verwerker
De verwerker is degene (veelal een toeleverancier/ dienstverlener) die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Wanneer een verwerker tevens de persoonsgegevens voor zijn eigen doeleinden verwerkt, dan is er voor dat deel sprake van medeverantwoordelijkheid.
Hoe ga je als verantwoordelijke een verwerkersovereenkomst aan?
Zoals uit artikel 28 lid 1 AVG blijkt, dient een verwerkingsverantwoordelijke er zeker van te zijn dat de verwerker afdoende garanties biedt, zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In art. 28 lid 3 AVG staan de eisen opgesomd die aan een verwerkersovereenkomst worden gesteld. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Dit uit zich onder meer in art. 28 lid 4 AVG. Wanneer je als verwerker een andere verwerker in dienst neemt (de sub-verwerker) en deze te kort schiet in de nakoming dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk.
Op grond van art. 28 AVG dient je binnen de verwerkersovereenkomst tenminste de volgende zaken af te spreken:
- het onderwerp en de duur van de verwerking;
- het doel en de aard van de verwerking;
- het soort persoonsgegevens waarop de verwerkersovereenkomst betrekking heeft;
- de categorieën van verwerking van de betreffende betrokkenen;
- de rechten en verplichtingen van de verwerkingsverantwoordelijke.
In tegenstelling van wat soms wordt gedacht, hoeft de verwerkersovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkersovereenkomst een integraal onderdeel te maken van de overeenkomst.
Waar moet je als verwerker op letten, welke eisen worden er door de AVG gesteld?
Ik noem hieronder een aantal in het oog springende vereisten waarmee de verwerker rekening dient te houden. Deze vereisten worden onder meer in art. 28 AVG genoemd.
Verwerkers mogen uitsluitend handelen in opdracht van de verantwoordelijke. Zij mogen de persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. Dit geldt ook met betrekking tot de doorgiften van persoonsgegevens aan een derde land of aan een internationale organisatie. Tenzij er een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling is die hem tot verwerking verplicht. Wanneer deze situatie zich voordoet stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Vertrouwelijkheid
De verwerker dient te waarborgen dat de “tot het verwerken van de persoonsgegevens gemachtigde personen” zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
Passende beveiligingsmaatregelen
Verwerkers dienen op grond van art. 32 AVG passende technische- en organisatorische beveiligingsmaatregelen te nemen die een passend beschermingsniveau bieden, rekening houdend met risico van de gegevensverwerking voor betrokkenen. Verwerkers dienen hiervoor een goede kennis te hebben inzake hun informatiesystemen en de typen van data die zij verwerken.
Sub verwerkers
Je mag als verwerker niet zondermeer nieuwe sub-bewerkers inschakelen zonder dat er hiervoor toestemming is verkregen van de verantwoordelijke. In het geval van een algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke vooraf in over veranderingen inzake de toevoeging of vervanging van sub-verwerkers. Hierbij dient de verwerkingsverantwoordelijke de mogelijkheid te worden geboden om tegen de veranderingen bezwaar te maken.
Zorgplicht
De verwerker krijgt tevens een zorgplicht waarbij hij de verwerkingsverantwoordelijke bijstand dient te verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36. Het gaat hier om zaken zoals beveiliging, meldplicht datalekken, en uitvoeren PIA. Zo moeten je als verwerker de verantwoordelijke “onverwijld op de hoogte stellen van een datalek”. De termijn voor onverwijld moet nog worden bepaald.
Daarnaast ben je als verwerker verplicht om medewerking te verlenen bij een verzoek daartoe van de Autoriteit Persoonsgegevens (AP) in het kader van de uitoefening van diens taken. In bepaalde gevallen moet je als verwerker, voorafgaand aan de verwerking van persoonsgegevens, de AP consulteren of een Privacy Impact Assessment uitvoeren. In bepaalde situaties is het als verwerker noodzakelijk om zelf een Data Protection Officer (DPO) aan te stellen. Dit is bijvoorbeeld het geval wanneer de bewerker een publieke organisatie is, wanneer er bij de verwerking sprake is van op grote schaal reguliere en systematische monitoring van betrokkenen of wanneer de primaire activiteit van de verwerking bestaat uit het op grote schaal verwerken van bijzondere persoonsgegevens.
De exit procedure vooraf regelen
Als verwerker dien je op voorhand een “exit-procedure” overeen te komen. Hierin spreek je op voorhand af hoe je na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, de persoonsgegevens wist of terugbezorgt, en bestaande kopieën verwijdert.
Als verwerker heb je een documentatieplicht. Hierdoor dien je een register bij te houden van alle categorieën van verwerkingsactiviteiten die ten behoeve van een verwerkingsverantwoordelijke zijn verricht. Als verplichte onderdelen binnen het register noemt art. 30 AVG onder meer:
1. de naam en de contactgegevens van de (sub-)verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt en indien van toepassing van de DPO;
2. de categorieën van verwerkingen die voor iedere verwerkingsverantwoordelijke zijn uitgevoerd;
3. doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
4. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zoals genoemd in art. 32 lid 1.
Boetebeding voor verwerkers
De AVG kent een boetebeding in het geval van een inbreuk op (onder meer) art. 28 AVG. Deze administratieve boetes kunnen oplopen tot 10 miljoen euro of tot 2% van de wereldwijde jaaromzet van een onderneming. Indien een verwerker in strijd met de AVG handelt, wordt die verwerker onverminderd de artikelen 82, 83 en 84 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd. De boetes kunnen hierdoor uiteindelijk oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een onderneming.
Kortom: een stevige stok achter de AVG-deur!
Hulp nodig?
Heb je hulp nodig bij het opstellen van een goede verwerkersovereenkomst? Of vraag je je af of je een verwerkersovereenkomst wel moet tekenen? Neem eens contact op met Juridict.