Verwerkersovereenkomst

Op de verwerking van persoonsgegevens is nu nog (onder meer) de Wet bescherming persoonsgegevens van toepassing. Vanaf 25 mei 2018 is dat de Algemene Verordening Gegevensbescherming (AVG) en de nog door de Nederlandse wetgever aan te nemen uitvoeringswet daarbij. De AVG bepaalt, net als de Wbp dat deed wat een persoonsgegeven is, wanneer u persoonsgegevens wel of niet mag verwerken, wat de rechten zijn van de personen wiens persoonsgegevens worden verwerkt en wat u moet doen als u een datalek constateert.

Voor een goed begrip over persoonsgegevens, de verplichtingen die op verwerkers van persoonsgegevens rusten en een uitgebreide beschouwing over de meldplicht datalekken verwijzen we u naar:

Zoals u kunt lezen in de stukken van de Autoriteit Persoonsgegevens is het van belang om te bepalen of u of een andere partij in een bepaalde opdracht verwerkingsverantwoordelijke of verwerker is. Voor uw begrip: onder de AVG hebben we het over verwerker (onder de Wbp heette dat bewerker) en verwerkingsverantwoordelijke (onder Wbp: verantwoordelijke).

Is het echt nodig om een verwerkersovereenkomst te hebben?

Ja, het is wettelijk verplicht om een verwerkersovereenkomst te hebben. Heb je dit niet, dan kunnen er sancties opgelegd worden. Daarom is het van belang dat je voor 25 mei 2018 beschikt over een verwerkersovereenkomst.

Stelt u daarom allereerst vast of daadwerkelijk sprake is van het verwerken van persoonsgegevens bij de uitvoering van een opdracht door u of een door u ingeschakelde derde. Alleen als sprake is van de verwerking van persoonsgegevens, legt u afspraken hierover vast in een overeenkomst.

Definitie ”verwerken

“Verwerking van persoonsgegevens” omvat alle denkbare handelingen met persoonsgegevens. Maar let op: ook meer passieve handelingen zoals de enkele aanwezigheid van de gegevens op uw servers valt onder het begrip “verwerken”. Bij “persoonsgegevens” denkt u ongetwijfeld aan gegevens als NAW, BSN en herkenbare afbeeldingen zoals pasfoto’s. Maar ook gegevens die in eerste instantie misschien geen persoonsgegevens lijken, kunnen dat zijn: bijvoorbeeld IP-adressen en binnen een bepaalde context ook (mobiele) telefoonnummers en nummerborden. Op de website van de Autoriteit Persoonsgegevens kunt u hierover meer lezen.

De verwerkingsverantwoordelijke is degene die bepaalt wat met de persoonsgegevens moet of mag worden gedaan en op welke wijze (het bepalen van “doel” en “middelen”). De verwerker is degene die de instructies van de verwerkingsverantwoordelijke over de verwerking dient op te volgen. Dit laatste brengt met zich mee dat als u een verwerker bent, u niet vrijelijk kunt bepalen (dat wil zeggen niet zonder voorafgaande toestemming) hoe u bepaalde persoonsgegevens gebruikt. Met andere woorden: het laatste woord hierover is aan de verwerkingsverantwoordelijke. Voor de accountant kan dit bij het uitvoeren van een opdracht bezwaarlijk zijn, met name met het oog op de onafhankelijke uitoefening van het beroep.

U bent verwerkingsverantwoordelijke als u persoonsgegevens verwerkt in het kader van een opdracht waarop de Standaarden 100-3850 van toepassing zijn. Daarbij is het niet van belang om welke standaard het gaat. Alleen als u geen beslissingen neemt over het gebruik van de gegevens, de verstrekking daarvan aan derden, de duur van de opslag etc, dan bent u een verwerker.

Wanneer bent u wel bewerker?

U bent een verwerker als u – bijvoorbeeld – een salarisadministratie verzorgt voor een externe klant. U heeft er geen belang bij om doel en middelen te bepalen van de gegevensverwerking, noch vragen de gedrags- en beroepsregels dat van u. Maar let op: dat hoeft niet zo te zijn. Het is zaak om goed in de gaten te houden of u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert. Indien u zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert is het aangaan van een verwerkersovereenkomst of verwerkersafspraken met de klant niet aan de orde, u bent dan verwerkingsverantwoordelijke.

Onderwerpen in een verwerkersovereenkomst

De AVG stelt dat in een verwerkersovereenkomst de volgende zaken in ieder geval vermeld moeten zijn:

  • de duur van de verwerking (denk ook aan het verwijderen van de gegevens aan het einde van de opdracht);
  • de aard en de doeleinden van de verwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de specifieke taken en verantwoordelijkheden van de verwerker en het risico in verband met de rechten en bevoegdheden van de betrokkenen;
  • de voorafgaande toestemming van de verantwoordelijke voor het inschakelen van subverwerkers;
  • het waarborgen van vertrouwelijkheid;
  • hoe persoonsgegevens beveiligd zijn;
  • hoe het ter beschikking stellen van informatie aan de verantwoordelijke in het kader van audits is geregeld.

De volgende onderwerpen moeten vastgelegd zijn in de overeenkomst (bron: Autoriteit Persoonsgegevens):

  • Algemene beschrijving
    Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en jouw rechten en verplichtingen als verwerkingsverantwoordelijke.
  • Instructies verwerking
    De verwerking vindt in principe uitsluitend plaats op basis van jouw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
  • Geheimhoudingsplicht
    Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
  • Beveiliging
    De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten en regelmatige beveiligingstesten.
  • Subverwerkers
    De verwerker schakelt geen subverwerker(s) in zonder jouw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker, in een subverwerkersovereenkomst, dezelfde verplichtingen op als de verwerker richting jou heeft.

In de overeenkomst kun je ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting jou voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

  • Privacyrechten
    De verwerker helpt je om te voldoen aan jouw plichten, als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
  • Andere verplichtingen
    De verwerker helpt je ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een privacy impact assessment (PIA) en bij een voorafgaande raadpleging.
  • Gegevens verwijderen
    Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan jou terug, als je dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
  • Audits
    De verwerker werkt mee aan jouw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen

Een verwerkersovereenkomst sluit je af met elke leverancier die gegevens van je verwerkt. Ook met de leverancier die alleen de gegevens opslaat (zoals een datacenter) moet een verwerkersovereenkomst afgesloten worden.

 

 

De overeenkomst

In tegenstelling van wat soms wordt gedacht, hoeft de verwerkingsovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkingsovereenkomst een integraal onderdeel te maken van de overeenkomst.

Art. 28 lid 3 AVG zegt over deze overeenkomst:

De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven (…).

Op grond van art. 28 lid 9 AVG dient deze overeenkomst in schriftelijke vorm (waaronder ook elektronisch is toegestaan) te worden opgesteld.

Grote verantwoordelijkheid

Zoals uit artikel 28 lid 1 AVG blijkt, dient een verwerkingsverantwoordelijke er zeker van te zijn dat de bewerker afdoende garanties biedt zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In art. 28 lid 3 AVG staan de eisen opgesomd die aan een verwerkingsovereenkomst worden gesteld. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Dit uit zich ondermeer in art. 28 lid 4 AVG. Wanneer je als verwerker een andere verwerker in dienst neemt (de subverwerker) en deze tekort schiet in de nakoming dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk.

De AVG kent bovendien een boetebeding in het geval van een inbreuk op (ondermeer) art. 28 AVG. De administratieve boetes kunnen oplopen tot 10 miljoen euro of tot 2% van de wereldwijde jaaromzet van een onderneming.

Begin op tijd

Het is voor zowel de verwerkingsverantwoordelijke die persoonsgegevens verwerkt, als voor de bewerker ervan van belang dat er verwerkingsovereenkomsten tot stand komen. Wacht hiermee niet te lang en zorg ervoor dat deze vóór 25 mei 2018 zijn overeengekomen.