Specialist

De verwerkersovereenkomst, hoe zit het nou echt?6 min lezen

Door: 26 april 2018 Geen Reacties

Om een verwerkersovereenkomst te maken, zijn er een aantal belangrijke zaken die je eerst moet vaststellen.

Stap 1 Om een verwerkersovereenkomst te maken dient de AVG rol vast te liggen. Wat is onze juridische positie binnen de AVG?

Welke juridische rol uw bedrijf inneemt ten aanzien van de verwerking en bescherming van persoonsgegevens volgens de wettelijke definities van de AVG is belangrijk. De AVG kent drie hoofdrollen: 1) die van (mede) verantwoordelijke, 2) die van (sub)verwerker en 3) die van betrokkene. Is uw bedrijf verantwoordelijk voor de verwerking van de persoonsgegevens? Of is uw bedrijf slechts de verwerker. Als uw rol is vastgesteld dan kan de verwerkersovereenkomst aansluiten bij de wettelijke plichten die bij die rol horen. Pas op met de verschillende modellen die op internet rondzwerven of u worden aangeboden door leveranciers of klanten.  Zorg ervoor dat u die versie kiest die bij uw wettelijke rol past, en ook aansluit bij de werkelijke gang van zaken. Anders heeft u een versie getekend waarbij u de plank misslaat in uw eigen nadeel. Als er dan een datalek is, dan kan uw probleem vele malen groter zijn dan u had gedacht.

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u verantwoordelijke voor deze personeelsgegevens. Als u besluit om deze persoonsgegevens te laten verwerken door een externe salarisadministrateur in een salarismodule van bijv. exact online, dan is dit kantoor "de verwerker." U bepaalt namelijk het doel van de verwerking; te weten om de salarisadministratie te voeren. U bepaalt ook de middelen, te weten een extern administratiekantoor m.b.v. een salarispakket, exact online. Stel dit kantoor huurt op haar beurt weer een ZZP-er in om die salarisadministratie uit te voeren dan is die ZZP-er een "subverwerker".

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens. U bent dus ook degene die een melding moet doen aan de betrokkenen als er zich een datalek voordoet welke echt gemeld moet worden.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Stap 2. Stel vast met wie u allemaal verwerkersovereenkomsten moet sluiten. Dat is niet altijd het geval!

Stel vast welke samenwerkingspartners, leveranciers persoonsgegevens van u, uw klanten of uw personeel verwerken in de zin van de AVG. Er is niet altijd een verwerkersovereenkomst nodig.

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3: Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Stap 3. Leg de juiste zaken vast in de verwerkersovereenkomst

In de verwerkersovereenkomst legt u o.a. vast van welke categorie personen u persoonsgegevens verzamelt. Waarom u die persoonsgegevens verwerkt en welke veiligheidsmaatregelen getroffen zijn om die gegevens te beschermen. U legt ook vast hoe de persoonsgegevens worden verwerkt (technisch, organisatorisch). U legt ook vast dat u een privacy proof audit kunt uitvoeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan dan ook kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Ook om het allemaal werkbaar te houden in het handelsverkeer. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Stap 4. Onderhandelen over een verwerkersovereenkomst

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daarin staat. Vooral de aansprakelijkiheidsclausules, wees daar kritisch op. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat, die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst. Of dat u uw schade niet bij uw verwerker kunt verhalen maar uw klant wel bij u, en u er dus tussenin zit. Dit terwijl de datalek bij de verwerker zich heeft voorgedaan.

Cyberrisk verzekering

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals advisering over verwerkersovereenkomsten, of over de AVG data inventarisatie (AVG nulmeting), de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com

Dit artikel is geschreven door Mr Hella Vercammen, Privacy Jurist, The Legal Privacy Company