Ondertussen zijn we ruim een half jaar verder sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) en worden er dagelijks verwerkersovereenkomsten gesloten. De Autoriteit Persoonsgegevens (AP) controleert op haar beurt inmiddels de verwerkersovereenkomsten bij 30 verschillende organisaties. Deze moeten aantonen dat zij verwerkersovereenkomsten sluiten en laten zien welke afspraken zij hierin maken. Het is dus noodzaak voor organisaties om dit op orde te hebben. Dit is makkelijker gezegd dan gedaan, voornamelijk omdat de uitkristallisering van de AVG nog in volle gang is én er verschillenden ideeën bestaan rondom de uitvoering. Organisaties moeten echter acteren, ondanks alle onduidelijkheid. Graag verhelder ik daarom in deze blog vier misverstanden rondom het sluiten van verwerkersovereenkomsten.
Wat is een verwerkersovereenkomst?
Eerst is het goed om nog even stil te staan bij wat een verwerkersovereenkomst ook alweer is. Een verwerkersovereenkomst is een overeenkomst welke wordt gesloten wanneer de verwerking van persoonsgegevens wordt uitbesteed aan een derde. In de overeenkomst worden alle afspraken rondom de verwerking vastgelegd. Het uitbesteden van de verwerking mag immers niet ten koste gaan van de afspraken die met de betrokkene zijn gemaakt. De betrokkene is de persoon waarop de persoonsgegevens betrekking hebben. Voorbeelden daarvan zijn de consument, werknemer en vergunningaanvrager.
De partijen die zo een verwerkersovereenkomst sluiten, zijn de verwerkingsverantwoordelijke en de verwerker. De verwerker is dan de derde waaraan de verwerking van persoonsgegevens wordt uitbesteed door de verwerkingsverantwoordelijke.
Misverstand 1: Alle ontvangers van persoonsgegevens zijn verwerkers
Het lijkt dus vrij duidelijk wanneer een verwerkersovereenkomst gesloten moet worden en door wie. Toch is gebleken dat onnodig veel verwerkersovereenkomsten worden gesloten. Dit komt omdat organisaties regelmatig verkeerde kwalificaties maken. Zo wordt er snel vanuit gegaan dat een organisatie een verwerker is wanneer zij persoonsgegevens ontvangt van een andere organisatie, terwijl dat helemaal niet het geval hoeft te zijn. De andere partij kan namelijk ook (mede) verantwoordelijk zijn voor de verwerking van de persoonsgegevens. Een verwerkersovereenkomst sluiten treft dan geen doel en daarmee wordt niet voldaan aan de vereisten van de AVG.
Het is dus verstandig om eerst goed te kijken naar de onderlinge relatie en deze te analyseren. Een verwerkingsverantwoordelijke bepaalt het doel en de middelen en heeft zeggenschap over de gegevensverwerking. Een verwerker verwerkt daarbij slechts de gegevens in opdracht van en ten behoeve van de verwerkingsverantwoordelijke. Daarbij is het belangrijk om vast te stellen of de verwerking de primaire opdracht is of een uitvloeisel van een andere vorm van dienstverlening. Alleen in het eerste geval is de partij die de gegevens ontvangt een verwerker.
In de praktijk
Met het bovenstaande in het achterhoofd zou het moeten lukken om de kwalificatie goed te kunnen maken. Wel moet daarbij rekening worden gehouden met het feit dat er nog grijze gebieden en grensgevallen zijn waarbij het niet helemaal duidelijk is. Dit kan betekenen dat een onlangs gemaakte kwalificatie die in principe goed lijkt te zijn, door bijvoorbeeld een gerechtelijke uitspraak toch gewijzigd moet worden. Kijk dus ook altijd naar de laatste ontwikkelingen op dit vlak wanneer een kwalificatie gemaakt moet worden.
Een goed voorbeeld hiervan is de uitspraak van de voorzieningenrechter Noord-Holland van 20 december 2018. In deze uitspraak merkt de voorzieningenrechter zichzelf namelijk aan als verwerker en wordt daarom de zaak opgesplitst. Dit is merkwaardig, aangezien de rechtspraak zelfstandig bevoegd is en een duidelijke wettelijke taak heeft waaronder de gegevens verwerkt mogen worden. Naar mijn mening is het dan ook een verkeerde kwalificatie en moet nog maar blijken of deze uitspraak stand houdt. Het zal in ieder geval een onwenselijke situatie opleveren, aangezien dit betekent dat er verwerkersovereenkomsten met rechters gesloten moeten worden.
Misverstand 2: De verwerkingsverantwoordelijke is verantwoordelijk voor de verwerkersovereenkomst
Een verwerkersovereenkomst wordt dus gesloten tussen een verwerkingsverantwoordelijke en een verwerker. Het kan daarbij soms verwarrend zijn welke partij de verwerkersovereenkomst zal aanleveren. Er wordt al snel gedacht dat dit de verwerkingsverantwoordelijke moet zijn. Echter zijn op grond van de AVG beide partijen verantwoordelijk voor het sluiten van een verwerkersovereenkomst. Het maakt dus eigenlijk niet uit wie de verwerkersovereenkomst aanlevert. Het belangrijkste is dat de verplichte onderwerpen worden vastgelegd en dat beide partijen het eens zijn met de inhoud.
Model voor verwerkersovereenkomst
Verenigingen en brancheorganisaties gaan steeds meer modellen aanbieden welke gebruikt kunnen worden. Kijk daarom altijd even of deze worden aangeboden, maar blijf kritisch op de inhoud. Ook zij kunnen fouten maken, achterhaalde modellen aanbieden of het kan niet aansluiten bij wat wenselijk is voor het specifieke geval. Een voorbeeld van het laatste is een situatie waarbij in het model staat dat geen subverwerkers ingeschakeld mogen worden, terwijl dit wel gewenst is.
Misverstand 3: Partijen kunnen zelf beslissen hoe de aansprakelijkheid wordt geregeld
In artikel 28 van de AVG staat wat in een verwerkersovereenkomst moet staan. Het vastleggen van de aansprakelijkheid is volgens dit artikel geen vereiste. Toch wordt vaak gekozen om hier over extra afspraken op te nemen in de verwerkersovereenkomst. Bijvoorbeeld omdat de verwerker de vergoeding van mogelijk geleden schade richting de verwerkingsverantwoordelijke wil beperken tot het bedrag waartoe de verwerker verzekerd is. Dit staat partijen vrij, niets in de wet zegt dat dit soort aanvullende afspraken in relatie tot de verwerkingsverantwoordelijke-verwerker relatie niet toegestaan zijn.
Wat daarentegen niet kan, is de aansprakelijkheden richting de betrokkene beperken. Dit wordt namelijk geregeld in artikel 82 AVG en daarvan kan niet worden afgeweken. Verder is het niet mogelijk om aansprakelijkheid uit te sluiten voor situaties als opzet of bewuste roekeloosheid.
Misverstand 4: Een verwerkersovereenkomst is de enige manier om de afspraken tussen verwerkingsverantwoordelijke en verwerker vast te leggen
Een verwerkersovereenkomst staat nooit op zichzelf. Het hangt samen met bijvoorbeeld de dienst die wordt geleverd, waarvoor een hoofdovereenkomst wordt gesloten. Een verwerkersovereenkomst is dan meestal een aanvulling op de hoofdovereenkomst in de vorm van een bijlage. Opvallend is daarbij dat vaak wordt gedacht dat de afspraken alleen in een verwerkersovereenkomst vastgelegd mogen worden. De AVG vereist echter niet dat die afspraken in een losse verwerkersovereenkomst worden vastgelegd. In de AVG staat alleen dat een overeenkomst of andere rechtshandeling moet worden verricht om de afspraken vast te leggen en dat dit schriftelijk dient te gebeuren. De afspraken kunnen dus ook bijvoorbeeld prima in de algemene voorwaarden of zelfs in de hoofdovereenkomst staan. Dit kan ook een stuk praktischer zijn. Bijvoorbeeld voor een cloud-leverancier met honderden klanten.
Wees alert bij het sluiten van verwerkersovereenkomsten
Kijk dus altijd eerst even goed naar de feitelijke situatie voordat een verwerkersovereenkomst wordt gesloten. Wellicht is deze helemaal niet nodig of moeten er andere afspraken worden vastgelegd. Is een verwerkersovereenkomst wel noodzakelijk, houdt dan bovenstaande misverstanden in het achterhoofd zodat deze voorkomen kunnen worden.