De Autoriteit Persoonsgegevens (AP) heeft aangekondigd dat zij gaat controleren hoe 30 bedrijven hun afspraken over het verwerken van persoonsgegevens met andere partijen hebben geregeld. Verwerkersovereenkomsten zijn er allerlei soorten en maten. Het zou de AP sieren als zij naar aanleiding van haar onderzoek, deze bedrijven niet alleen de maat neemt, maar ook dat zij met wat meer algemene guidance komt.
In de praktijk komt het geregeld voor dat partijen lange onderhandelingen met elkaar voeren over de verwerkersovereenkomst, zonder dat er uiteindelijk een AVG-compliant verwerkersovereenkomst uitkomt. Dat kan komen omdat het contract onder grote commerciële druk tot stand komt, of omdat partijen niet precies weten wat in een verwerkersovereenkomst moet staan, dan wel dat zij onwetend zijn wat hun privacy rol precies is. Nog vaker is het een combinatie van deze factoren. In een persbericht van 16 januari 2019 heeft de Autoriteit Persoonsgegevens (AP) aangekondigd dat zij gaat controleren hoe 30 bedrijven hun afspraken over het verwerken van persoonsgegevens met andere partijen hebben geregeld. Verwerkersovereenkomsten zijn er allerlei soorten en maten. Het zou de AP sieren als zij naar aanleiding van haar onderzoek, deze bedrijven niet alleen de maat neemt, maar ook dat zij met wat meer algemene guidance komt.
De verwerkersovereenkomst en de AVG
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 is de AP gestart met diverse verkennende onderzoeken naar de naleving van belangrijke privacy verplichtingen voor de private en de publieke sector. Nu is ook de verwerkersovereenkomst aan de beurt. Elke organisatie die haar verwerkingen van persoonsgegevens, uitbesteedt aan een andere partij, is verplicht om een verwerkersovereenkomst af te sluiten met deze partij, indien dat een verwerker is. Het doel van de verwerkersovereenkomst is om de onderlinge verantwoordelijkheden tussen partijen te regelen over het verwerken van persoonsgegevens, zoals hun verplichtingen over de beveiliging, het melden van datalekken, de rechten van de betrokkenen en de doorgifte van persoonsgegevens.
Verwerkingsverantwoordelijke en verwerker
Voordat een verwerkersovereenkomst tot stand kan komen, moeten partijen eerst zekerheid hebben over de vraag of zij kwalificeren als verwerkingsverantwoordelijke of verwerker. Een organisatie is een verwerkingsverantwoordelijke als zij het doel en de middelen van de gegevensverwerking vaststelt. Zo is een werkgever de verwerkingsverantwoordelijke van zijn werknemersgegevens. De verwerker daarentegen mag de persoonsgegevens alleen verwerken in opdracht van de verwerkingsverantwoordelijke, en niet voor eigen doeleinden hanteren.
Een klassiek voorbeeld van een verwerker is een salarisadministratiebedrijf of een hosting provider. Niet altijd is duidelijk of een partij een verwerker of een verwerkingsverantwoordelijke is. Dat leert bijvoorbeeld het recente boetebesluit van de AP in de Uber-zaak. In dat geval oordeelde de AP dat zowel de moeder als de dochter uit het concern een verwerkingsverantwoordelijke zijn, terwijl er door partijen een verwerkersovereenkomst was afgesloten. Om vast te stellen hoe een partij gekwalificeerd moet worden – en of wellicht sprake is van een dubbelrol – , zijn niet alleen de gemaakte afspraken van belang, maar ook hoe partijen feitelijk omgaan met het verwerken van de persoonsgegevens.
Inhoud verwerkersovereenkomst
Als eenmaal vaststaat dat sprake is van een verwerkersrelatie, is van belang dat een verwerkersovereenkomst wordt gesloten. De AVG schrijft in artikel 28 voor welke aspecten tenminste geregeld moeten zijn in een verwerkersovereenkomst: de ‘must-haves’. Door de verwerkersovereenkomst naast artikel 28 AVG te houden, kan een goed beeld worden gevormd van AVG-compliance van de verwerkersovereenkomst. De verwerkersovereenkomst moet tenminste de volgende verplichte onderdelen bevatten (i) onderwerp en duur van de verwerking, (ii) de aard en het doel van de verwerking, (iii) het soort persoonsgegevens dat verwerkt wordt, (iv) de personen waarvan de gegevens worden verwerkt en (v) de rechten en verplichtingen van de verwerkingsverantwoordelijke.
Daarnaast kent de AVG ook onderdelen die de verplichtingen van een verwerker raken. Zo moet in de verwerkersovereenkomst vastgelegd worden dat (i) de persoonsgegevens uitsluitend worden verwerkt volgens de instructies van de verwerkingsverantwoordelijke, (ii) de personen die de gegevens verwerken moeten vertrouwelijk met de gegevens omgaan, (iii) de verwerker moet alle benodigde maatregelen neemt om de veiligheid van de gegevens te garanderen, alsmede informeren over eventuele datalekken, (iv) de verwerker moet een generieke of specifieke goedkeuring vragen van de verwerkingsverantwoordelijke voor het inschakelen van een subverwerker en daar ook afspraken mee maken om de veiligheid van de gegevens te garanderen en (v) de verwerker moet de verwerkingsverantwoordelijke onmiddellijk informeren als hij vermoedt dat de instructies van de verwerkingsverantwoordelijke niet in lijn zijn met de AVG.
Het staat partijen vrij om ook aanvullende – meer commercieel getinte – afspraken te maken, dan wel op een zodanige wijze invulling te geven aan de AVG-verplichte bepalingen dat hun belangen zo goed mogelijk worden gewaarborgd.
Modellen verwerkersovereenkomst
Op Europeesniveau is er nog geen voorlichting gepubliceerd over de verwerkersovereenkomst, laat staan dat er door de Europese Commissie standaardbepalingen zijn gepubliceerd. Wel is op nationaal niveau aandacht geschonken door toezichthouders aan de verwerkersovereenkomst. Zo heeft de Britse privacy autoriteit, de ICO, in 2017 een handleiding voor het sluiten van deze overeenkomstenge gepubliceerd. Ook de AP (toen nog onder de noemer College bescherming persoonsgegevens) is in 2013 gekomen met Richtsnoeren over de beveiliging van persoonsgegevens waarin eveneens aandacht is geschonken aan de toen nog geheten bewerkersovereenkomst. Later heeft de toezichthouder in 2016 nog een korte aanvulling gedaan. Het is nu wachten op wat de uitkomst zal zijn van het verkennend onderzoek van de Autoriteit Persoonsgegevens en wat dit gaat opleveren aan lessons to be learned voor de praktijk.
Overigens zijn er al sinds enige jaren ook diverse sectorspecifieke model-verwerkersovereenkomsten in omloop, die meestal ook al zijn aangepast met het oog op de AVG. Denk bijvoorbeeld aan de modellen voor de zorgsector, gemeentelijke sector, ICT-sector, onderwijssector, advocatuur, en belastingadviseurs. Deze modellen zijn ook niet altijd van hetzelfde (compliance) niveau. In haar verkennend onderzoek heeft de AP ervoor gekozen om 30 bedrijven aan te schrijven. Het lijkt er niet op dat de AP gekozen heeft voor een sectorspecifieke aanpak, hetgeen ons inziens wel tot aanbeveling zou strekken.
Dienstverleningsovereenkomst
Een ander punt van aandacht is dat niet moet worden vergeten dat elke verwerkersovereenkomst van geval tot geval aan de gerelateerde dienstverleningsovereenkomst moet worden aangepast. Het is te hopen dat de AP op een realistische wijze hiermee omgaat en ook daarmee rekening houdt, omdat elke verwerkersovereenkomst per definitie de neerslag is van hetgeen partijen met elkaar (kunnen) overeenkomen.
Ten slotte: het niet sluiten van een geldige een verwerkersovereenkomst kan leiden tot een boete van 2% van de wereldwijde jaaromzet of een boete van maximaal 10 miljoen euro.
Meer informatie
Heeft u vragen over de verwerkersovereenkomst? Neem dan contact op met Elisabeth Thole of Özer Zivali.