ICT Projecten deel 9: De verwerkersovereenkomst

Op het moment dat er verschillende partijen betrokken zijn bij een verwerking van persoonsgegevens, gaat de AVG uit van een rolverdeling. Een van de belangrijke begrippen bij deze rolverdeling is de verwerkingsverantwoordelijke. Dit is de partij die het doel en de middelen van het gebruik van persoonsgegevens bepaalt.[1] Een ander belangrijk begrip is verwerker. Een verwerker verwerkt de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke.[2] Een voorbeeld van een verwerker is een salarisadministratiekantoor. Ook een SaaS-dienstaanbieder of hostingprovider die persoonsgegevens verwerkt kwalificeert (in beginsel) als verwerker. (Er kan ook nog sprake zijn van een gezamenlijke verantwoordelijkheid, maar dat laten we omwille van het geven van een helder en beknopt overzicht buiten beschouwing).

Het is van belang dat partijen zich bewust zijn van hun rol. De AVG stelt immers verschillende wettelijke eisen aan de invulling van deze rollen. In de praktijk blijkt echter dat het niet altijd eenvoudig is de juiste rol te kwalificeren. Het risico dat partijen in dat geval lopen is dat zij te veel of juiste te weinig verplichtingen op zich nemen. In het eerste geval trekken zij meer verantwoordelijkheid (en uiteindelijk ook meer kans op aansprakelijkheid) naar zich toe dan noodzakelijk. In het tweede geval voldoen zij niet aan hun wettelijke verplichtingen. In beide gevallen is dit niet zonder risico.

Het sluiten van een verwerkersovereenkomst tussen verwerkingsverantwoordelijke en verwerker(s) is wettelijk verplicht. Een wijdverbreid misverstand is dat alleen de verwerkingsverantwoordelijke de verplichting heeft zorg te dragen voor een verwerkersovereenkomsten. Dit is niet juist. Deze wettelijke verplichting rust zowel op de verwerkersverantwoordelijke als op de verwerker. Welke afspraken moeten nu worden opgenomen in een verwerkersovereenkomst? De volgende zaken dienen in ieder geval te worden geregeld:

• Het onderwerp en de duur van de verwerking;
• De aard en het doel van de verwerking;
• Het soort persoonsgegevens en de categorieën van betrokkenen; en 
• De rechten en verplichtingen van de verwerkingsverantwoordelijke.

Daarnaast moet de overeenkomst:

• Bepalen dat de persoonsgegevens uitsluitend verwerkt mogen worden op basis van de schriftelijke instructies van verwerkingsverantwoordelijke;
• Waarborgen dat de personen die betrokken zijn bij de verwerking vertrouwelijkheid in acht nemen;
• Waarborgen dat verwerker zorg zal dragen voor afdoende beveiliging van de persoonsgegevens (in lijn met artikel 32 AVG);
• Bepalen dat verwerker de verwerkingshandelingen niet zonder meer overdraagt aan sub-verwerkers;
• Bepalen dat verwerker de verwerkingsverantwoordelijke bijstand verleent (al dan niet in de vorm van informatie) bij het nakomen van de verplichtingen die voortvloeien uit de AVG; en
• Bepalen of de verwerker de gegevens wist of terugbezorgt aan de verwerkingsverantwoordelijke na afloop van de verwerkingsdiensten.

Het staat partijen vrij om deze zaken gedetailleerder te regelen. Zo kunnen partijen bijvoorbeeld specifieke voorwaarden afspreken waaronder verwerker zijn verwerkingsdiensten wel uit mag besteden aan sub-verwerkers. Ook is het gebruikelijk een lijst op te nemen van de beveiligingsmaatregelen die ten minste verwacht worden van de verwerker.

Naast de bepalingen die op grond van de wet in ieder geval moeten worden opgenomen in een verwerkersovereenkomst, is het raadzaam om bepalingen op te nemen over aansprakelijkheid en vrijwaring. Hoe gaan partijen om met een boete die opgelegd worden door de Autoriteit Persoonsgegevens als sprake is van niet-naleving van de AVG? Ook is het raadzaam nadere (procedure)afspraken te maken over datalekken. Hoe te handelen in geval van een datalek? Bij wie en hoe moet een datalek worden gemeld? Welke informatie moet in dat geval worden gedeeld, etc.?

• De AVG maakt onderscheid tussen partijen op basis van hun onderlinge rolverdeling. Als verwerkingsverantwoordelijke wordt aangemerkt de partij die het doel en de middelen van het gebruik van persoonsgegevens bepaalt. De verwerker is de partij die de persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke.
• Er zijn echter situaties denkbaar waarin de posities van partijen niet duidelijk afgebakend zijn. Het is dus van belang dat grote zorgvuldigheid in acht wordt genomen bij het bepalen van de positie van partijen. Dit om te voorkomen dat te weinig of juist te veel verantwoordelijkheid wordt genomen. 
• Zowel de verwerkingsverantwoordelijke als de verwerker zijn op grond van artikel 28 AVG verplicht zorg te dragen voor een verwerkersovereenkomst. Deze verwerkersovereenkomst bevat in elk geval bepalingen over het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.
• Partijen kunnen onderling overeenkomen om deze zaken gedetailleerder en preciezer af te spreken. Ten aanzien van een aantal onderwerpen is dit zeker raadzaam.

Heeft u vragen over het succesvol uitvoeren van ICT-projecten, neem dan contact op met Natascha van Duuren, partner & advocaat IT, Privacy & Cybersecurity.

De inhoud van deze blog is onderdeel van ‘ICT Projecten: een praktische handreiking’, een bundeling van artikelen over het succesvol uitvoeren van een ICT-project. Klik hier om de praktische handreiking te downloaden.

Wil je elke maand een overzicht van updates en blogs in je mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!