De verwerkersovereenkomst deel II
Door Legalitadvies.nl
Gepubliceerd Op 23 september 2020
Wanneer is de verwerkersovereenkomst van toepassing en wat zet zet je er in?
In deel I van deze blog kwam naar voren dat het belangrijk is om eerst te bepalen welke rol je bekleedt als contractpartij: is dat de rol van verwerkingsverantwoordelijke, mede-verantwoordelijke of de rol van verwerker? Bij het bepalen van je rol wordt het duidelijker welke verantwoordelijkheden je draagt volgens de AVG. In aanvulling op deel I van deze blog is het recent uitgebrachte stroomschema door het European Data Protection Board (blz. 46 – 48) erg praktisch voor organisaties om in complexe situaties te zien welke rol je hebt bij het verwerken van persoonsgegevens.
Hieronder ga ik in op het volgende:
- wanneer dien je nou een verwerkersovereenkomst af te sluiten?;
- verplichte afspraken die je volgens de AVG moet maken; en
- praktische tips.
Wanneer sluit je een verwerkersovereenkomst af?
Indien je de afgelopen twee jaar, na de invoering van de AVG, om de oren bent geslagen met verwerkersovereenkomsten is de kans groot dat het in sommige gevallen niet eens nodig is geweest. Met een aantal veel voorkomende partijen, zoals een advocaat of accountant, hoef je geen verwerkersovereenkomst af te sluiten. Een advocaat en een accountant zijn namelijk zelfstandige verwerkingsverantwoordelijken, zij hebben een impliciete bevoegdheid om op grond van de wet persoonsgegevens te mogen verwerken.
Ook met een trainingsbureau hoef je als organisatie geen verwerkersovereenkomst af te sluiten. Het primaire doel van een trainingsbureau is niet om persoonsgegevens te verwerken, maar om opleidingen en trainingen te verzorgen. Het verwerken van persoonsgegevens van de deelnemers is slechts een bijgevolg om te kunnen voldoen aan het primaire doel: trainingen verzorgen.
In de vorige blog beschreef ik de situatie waarin de verwerkingsverantwoordelijke een clouddienst afneemt. De clouddienstaanbieder levert een platform waarop de verwerkingsverantwoordelijke zijn klantgegevens in opslaat. Het opslaan van persoonsgegevens is in dit geval de hoofdverwerking, deze feitelijke gebeurtenis maakt het dat de clouddienstaanbieder hierbij wel een verwerker is.
Welke afspraken zet je in een verwerkersovereenkomst?
Het doel van een verwerkersovereenkomst is om de verantwoordelijkheden tussen partijen te regelen, zodat er voldoende (veiligheids)waarborgen zijn om een rechtmatige en veilige verwerking te kunnen garanderen. Let op: verwerk je bijzondere persoonsgegevens – zoals gezondheidsgegevens – dan dien je een hoger beschermingsniveau in acht te nemen en dat vast te leggen. De impact voor betrokkenen is bij een datalek namelijk groter.
Hieronder lees je de wettelijke verplichte onderwerpen die moeten worden vastgelegd in de verwerkersovereenkomst:
· De persoonsgegevens die worden verwerkt;
- De beveiliging van de te verwerken persoonsgegevens;
- Geheimhoudingsplicht van alle werknemers van de verwerkende organisatie;
- Informatieplicht en (algemene) toestemming voor bij het inschakelen van sub-verwerkers;
- De ingeschakelde sub-verwerkers aan dezelfde plichten laten voldoen als de verwerker;
- Toestemming dat de verwerkingsverantwoordelijke audits mag uitvoeren;
- Hoe effectief de rechten van betrokkenen gewaarborgd kunnen worden, zoals bij het recht op correctie of recht op inzage van persoonsgegevens;
- Het zonder onredelijke vertraging melden van een datalek bij de verwerkingsverantwoordelijke;
- Het vernietigen of teruggeven van de persoonsgegevens bij beëindiging van het contract
Indien er sprake is van doorgifte van persoonsgegevens aan bijvoorbeeld een (sub-) verwerker die zich buiten de Europese Economische Ruimte (EER) bevindt, dan moeten de afspraken een passend beschermingsniveau waarborgen. Een niveau vergelijkbaar met die van de AVG voor de EER. Indien het passende beschermingsniveau ontbreekt is de doorgifte alleen toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk 5 van de AVG. Meer inhoudelijke informatie over doorgifte van persoonsgegevens laat ik voor nu even buiten beschouwing.
Hieronder lees je een aantal tips bij het afsluiten van een verwerkersovereenkomst:
Tips
- De Autoriteit Persoonsgegevens (AP) is bevoegd om (flinke) boetes uit te delen aan organisaties die zich niet aan de regels houden. Het is dus verstandig om de vrijwaringen en aansprakelijkheden over en weer duidelijk te beschrijven.
- Schrijf goed op welke persoonsgegevens verwerkt worden en met welk doel, zodat er later geen misverstand kan ontstaan over verwerkingen die voor eigen doeleinden door de verwerker zijn uitgevoerd.
- Niet alleen de verwerkingsverantwoordelijke dient het initiatief te nemen om een verwerkersovereenkomst af te sluiten, maar ook de verwerker. Met deze overeenkomst laat de verwerker zien dat hij persoonsgegevens mag verwerken en wel op de grondslag van de verwerkingsverantwoordelijke.
- Zorg ervoor dat de verwerkersovereenkomst aansluit op de hoofdovereenkomst of op leidende algemene voorwaarden, anders ontbreekt de samenhang van contracten en kan het juridisch moeilijk worden om je recht te halen.
- Verplicht de verwerker ook een administratie te voeren over beveiligingsincidenten om niet straks met lege handen te staan bij een dergelijk verzoek van de AP.
- Heb je advies nodig bij het afsluiten van een verwerkersovereenkomst, neem dan contact op met LegalIT.
·
Conclusie
Zoals je hierboven leest zitten er nog wel wat haken en ogen aan bij het afsluiten van een verwerkersovereenkomst. Zoals bij vele contracten is ook de verwerkersovereenkomst voor niet-juristen vaak een doorn in het oog. Heb je na het lezen van deze blog nog steeds vragen of heb je behoefte aan meer inhoudelijk advies passende bij jouw organisatie, neem dan gerust contact met ons op.
Voor meer informatie over privacy- en securitymanagement, bekijk onze website: https://legalitadvies.nl of neem contact op met mij.
Auteur: Rik Gerritsen
