Managed hosting door True
Sponsored
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

De verwerkersovereenkomst: wie doet wat en waar moet je aan denken?

Ad Schaafsma, Jurist, CDPO en Security Consultant bij Axians

 

Met de AVG (GDPR) op komst dien je de verwerkersovereenkomst op orde te hebben. Er worden veel inhoudelijke eisen gesteld aan de afspraken tussen verwerkingsverantwoordelijke en verwerker. Welke acties zijn verplicht? Wat is een ‘verwerker’ en hoe zit de verwerkersrelatie in elkaar? Ad Schaafsma (Jurist, CDPO en Security Consultant) maakt de nieuwe wet- en regelgeving overzichtelijk, geeft voorbeelden en helpt zodat je klaar bent voor 25 mei.

Onder de AVG, met een flink handhavingsinstrumentarium voor de toezichthouder, worden er nu veel meer inhoudelijke eisen aan de afspraken tussen de verwerkingsverantwoordelijke en de verwerker gesteld. En met eigen rechten en plichten van de verwerker rechtstreeks vanuit de AVG is het maken, vastleggen en nakomen van de nodige afspraken belangrijker dan ooit. Voor beide partijen! Want ook de verwerker kan zelfstandig een bestuurlijke boete ontvangen. Zowel de verwerkingsverantwoordelijke als de verwerker kunnen dus een boete krijgen voor eigen tekortkomingen en niet persé (vooral relevant voor de verwerkingsverantwoordelijke) voor tekortkomingen van de ander.

De verwerkersovereenkomst

"Een verwerkersrelatie is niet altijd meteen aan de orde"

Het gevolg is dat de markt wordt overspoeld met verwerkersovereenkomsten. Soms nog gebaseerd op de WBP met een verwijzing naar ‘overeenkomstige toepassing onder’ de AVG, in steeds meer gevallen herschreven voor de AVG. Het eerste is niet altijd verstandig omdat, zoals gezegd, de AVG een reeks van inhoudelijke eisen aan de afspraken stelt die de WBP niet zo expliciet maakte. Denk hierbij aan:

  • Vastgelegde instructies
  • Geheimhouding aan verwerkend personeel opleggen
  • Verwerking in of doorgifte aan alleen ‘adequate countries’ (in de praktijk EU/EER, privacy shield en enkele door de Commissie als ‘adequate’ genoemde landen)
  • Toestaan en mogelijk maken van audits en onderzoeken
  • Treffen van passende technische en procesmatige beveiligingsmaatregelen
  • Teruggeven of onleesbaar maken van persoonsgegevens bij einde van de verwerking

Maar ook als dit alles goed in een verwerkersovereenkomst is opgenomen, is het niet per definitie duidelijk en geregeld. En dat begint bij het begin: is er verwerking van persoonsgegevens en is er een verwerkersrelatie? Een verwerkersrelatie is niet altijd meteen aan de orde als meerdere partijen bij verwerking van persoonsgegevens zijn betrokken. Wij merken dat als een soort ‘reflex’ zodra verwerking van persoonsgegevens aan de orde is, naar de verwerkersovereenkomst wordt gegrepen. Terwijl dat zeker niet altijd nodig of zelfs wenselijk is.

Wanneer is er een verwerker?

Laten we het eens uitdiepen. Om te beginnen bij het begrip ‘verwerken’. In essentie is dat alles wat met persoonsgegevens gedaan wordt of kan worden. Inzien, veranderen, opslaan, doorgeven, verwijderen, vernietigen, enz. Een partij die inzage kan hebben in bepaalde persoonsgegevens kan ook al verwerker zijn. Zelfs als hij er verder niets mee doet, kan doen, wil doen of mag doen.

Wat is een verwerker? Dat is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt” (art. 4 onder 8 AVG). De uitleg bij de richtlijn waarop de WBP is gebaseerd en bij de WBP zelf is dat de verwerker niet rechtstreeks onder het gezag of toezicht van de verwerkingsverantwoordelijke valt. In dat geval is er geen verwerker maar handelen van de verwerkingsverantwoordelijke zelf, ook wel intern beheer genoemd. Bijvoorbeeld bij detachering of uitzendwerk, of werkzaamheden als ZZP’er leidt het werken met persoonsgegevens in de regel dus niet tot een verwerkersrelatie, want de verwerkingsverantwoordelijke oefent direct gezag uit. In de handleiding AVG (paragraaf 3.5.1.) komt dit uitgangspunt weer terug.

Elementen verwerkersrelatie

De verwerkersrelatie kenmerkt zich dus door enkele elementen:

  • Verwerking
  • Niet onderworpen aan rechtstreeks gezag / geen hiërarchische verhouding
  • Ten behoeve van een verwerkingsverantwoordelijke

Het enkel beschikken over of verkrijgen van persoonsgegevens van een verwerkingsverantwoordelijke maakt nog geen verwerker, daar is meer voor nodig. Er moet verwerking zijn ‘ten behoeve van’, wat onder meer betekent dat de opdracht primair gericht moet zijn op verwerking van persoonsgegevens. Let op, dit is een ruim begrip! Komt er verwerking bij kijken maar heeft de opdracht betrekking op een andere dienstverlening dan ontstaat er vanuit die context nog geen verwerkersrelatie.

Om het wat tastbaarder te maken: wiens organisatieproces is met de verwerking gediend, dat van de opdrachtgever of van de opdrachtnemer? Is dat het organisatieproces van de opdrachtgever, dan wijst dat eerder op een verwerkersrelatie (‘ten behoeve van’) dan wanneer de persoonsgegevens voor het organisatieproces van de opdrachtnemer worden gebruikt.

Voorbeelden ter illustratie:

  • Het uitvoeren van een salarisadministratie. Het administratiekantoor is verwerker, want de opdracht gaat primair over verwerking van persoonsgegevens en het is ten behoeve van de opdrachtgever. Het ondersteunt primair het organisatieproces van de opdrachtgever, daarmee de verwerkingsverantwoordelijke.
  • Het boeken van een reis (vakantie via reisbureau). De vliegmaatschappij, het hotel, het taxibedrijf enz. zijn geen verwerker van het reisbureau. Ze ontvangen weliswaar persoonsgegevens, maar verwerken die ten behoeve van zichzelf (het eigen organisatieproces). Daarom zijn zij zelf voor hun deel verwerkingsverantwoordelijke.
  • Het uitvoeren van remote netwerkmanagement. Het IT bedrijf (de opdrachtnemer) is verwerker, want kan zeer waarschijnlijk iets met persoonsgegevens van de opdrachtgever, en ‘verwerkt’ die ten behoeve van de opdrachtgever (het organisatieproces van de opdrachtgever). De uitgevoerde dienst (beheer) is ook primair gericht op de verwerking van persoonsgegevens, al ervaart de IT’er dat in de regel niet zo.
  • Het aanbieden van een clouddienst (SAAS). Dat kan beide kanten uitgaan en wordt een casuïstische beoordeling. Des te meer invloed en (feitelijke) zeggenschap de opdrachtgever over de uitvoering van de dienst heeft, des te eerder er een verwerkersrelatie is. Ook relevant is waarop de dienst betrekking heeft: hoe dichter dat bij de persoonsgegevens zelf komt, hoe sneller het naar een verwerkersrelatie gaat. Generieke cloudopslag bijvoorbeeld zal sneller een verwerkersrelatie opleveren dan een mobiele app voor een heel ander (persoonlijk) doel.

Geen verwerkersovereenkomst?

"Juridische schijnwerkelijkheid "

Het is af te raden, zowel voor verwerkingsverantwoordelijken als voor ‘verwerkers’ om een verwerkingsovereenkomst aan te gaan als er geen sprake is van een verwerkersrelatie. Ten eerste omdat er een juridische schijnwerkelijkheid ontstaat en partijen denken volgens de AVG te handelen maar dat niet blijken te doen. Dat is vooral een risico voor de verwerkingsverantwoordelijke die wellicht denkt beveiligingsrisico’s uit te besteden (en dus zelf minder hoeft te doen), om vervolgens aangesproken te worden op tekortschieten als verwerkingsverantwoordelijke omdat hijzelf maatregelen had moeten treffen.

Ten tweede omdat de verwerkingsovereenkomst rechten en verplichtingen met zich meebrengt en partijen zich daaraan moeten houden. Dat is meer relevant voor de verwerker, die bijvoorbeeld moet investeren in beveiligingsoplossingen, bedrijfsprocessen moet herinrichten, audits moet toelaten, enz. Zodra hij persoonsgegevens verwerkt, zal hij dat toch moeten, maar wellicht met andere processen en technische middelen.

Ten derde omdat de opdrachtnemer ten onrechte in de veronderstelling kan verkeren zich te kunnen beroepen op de opdrachtgever als verwerkingsverantwoordelijke. Anders dan de verwerker moet de verwerkingsverantwoordelijke instaan voor de rechtmatigheid van de verwerking, de borging van de rechten van de betrokkenen, de eventueel noodzakelijke privacy impact assessments, enz. Als de opdrachtnemer geen verwerker is maar wel persoonsgegevens ontvangt en verwerkt is hij verwerkingsverantwoordelijke met alles dat daarbij komt kijken!

Samengevat

Voor het opstellen van de verwerkingsovereenkomst: is er een verwerkersrelatie? Toets op verwerken, ten behoeve van, direct gezag (afwezigheid van), primair doel van de opdracht. Motiveer en leg vast voor het geval zich iets voordoet en de AP navraag doet. Raadpleeg zo nodig inhoudelijk deskundigen op privacy gebied. Het is wat zoeken, maar een goed begrip van de verwerkersrelatie en van de verwerkingsovereenkomst helpt om ongewenste complicaties te voorkomen.

Geraadpleegde documenten:

  • Wet bescherming persoonsgegevens
  • CELEX_32016R0679_NL_TXT (de geautoriseerde NL tekst van de AVG/GDPR)
  • Wetsvoorstel+Uitvoeringswet+Algemene+verordening+gegevensbescherming
  • Handleiding+Algemene+Verordening+Gegevensbescherming (uitgegeven door het Ministerie van Justitie en veiligheid, https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming)
  • WP29 Opinion 1/2010 Opinion 1/2010 on the concepts of "controller" and "processor" (nog formeel geschreven o.b.v. Richtlijn 95/46/EC maar conceptueel nog altijd actueel)

Meer weten?

Heb je vragen of wil je graag meer informatie over de verwerkersrelatie of de security diensten van Axians? Neem direct contact met ons op via security@axians.com of kijk op www.axians.nl/security.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/6345753). © Jaarbeurs IT Media.

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.