AVG uitgediept #7: Verwerkersovereenkomst en de nieuwe vereisten onder de AVG
In deze zevende bijdrage van de blogreeks “AVG uitgediept” behandel ik de verwerker en de verwerkersovereenkomst. Ook in de Wet Bescherming Persoonsgegevens (WBP) kwamen deze begrippen al voor, alhoewel ze toen bewerker en bewerkersovereenkomst werden genoemd. Enigszins verwarrend is het wel, maar in de Nederlandse vertaling van de AVG, die oorspronkelijk in het Engels is opgesteld, is ervoor gekozen het begrip “Processor” te vertalen als verwerker.
Net als onder de WBP wordt met een verwerker nog steeds bedoeld, de partij die namens de verwerkingsverantwoordelijke (hierna: “de verantwoordelijke”) persoonsgegevens verwerkt. De verwerking van persoonsgegevens door de verwerker is dus altijd afgeleid van de verwerking door de verantwoordelijke. Het cruciale verschil bestaat er in de basis vooral uit dat de verantwoordelijke het doel en de middelen van de verwerking bepaalt. De verwerker doet dat expliciet niet. Denk aan het administratiekantoor dat de salarisadministratie verzorgt voor uw onderneming en hiertoe gegevens van werknemers moet verwerken. De werkgever is hier verantwoordelijke, die doel en grondslag voor de verwerking bepaalt (uitvoeren van de arbeidsovereenkomst) en het administratiekantoor is de verwerker.
De verantwoordelijke en de verwerker moeten een overeenkomst sluiten. De AVG stelt die strikte eis en verbindt ook diverse voorwaarden aan een dergelijke verwerkersovereenkomst. De verplichte onderwerpen in een verwerkersovereenkomst zijn:
- het specificeren van de verwerkingen die zullen plaatsvinden en het doel daarvan;
- het benoemen van de categorieën van betrokkenen (de personen wiens gegevens worden verwerkt);
- dat verwerking plaatsvindt op basis van schriftelijke instructies van de verantwoordelijke;
- de waarborg dat verwerkers vertrouwelijkheid in acht nemen;
- dat de verwerker zorg draagt voor de technische en organisatorische beveiligingsmaatregelen, om een “op het risico afgestemd” beveiligingsniveau te waarborgen (waarvan de verordening voorbeelden noemt, zoals pseudonimisering, versleuteling, permanente informatiebeveiliging, herstel van beschikbaarheid/toegang tot gegevens bij incidenten en regelmatige beveiligingstesten);
- dat de verantwoordelijke voorafgaande specifieke of algemene schriftelijke toestemming aan de verwerker geeft voor het inschakelen van een subverwerker (aan welke subverwerker trouwens door de verwerker verplichtingen van hetzelfde niveau als uit de bewerkersovereenkomst voortvloeien moeten worden opgelegd);
- dat de verwerker de verantwoordelijke assisteert bij het vervullen van zijn plicht om aan verzoeken van de betrokkene te voldoen (zoals verwijdering, wijziging, inzage of verstrekking in een gangbaar format van de persoonsgegevens);
- dat de verwerker de verantwoordelijke assistentie verleent bij andere verplichtingen zoals het melden van datalekken en het uitvoeren van een privacy impact assessment;
- dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert;
- dat de verwerker meewerkt aan een audit door de verantwoordelijke waarin deze nagaat of de verplichtingen uit de bewerkersovereenkomst worden nagekomen;
Onder het regime van de WBP is het nu nog mogelijk dat de verwerker aansprakelijkheid (geheel of gedeeltelijk) contractueel uitsluit. Onder de AVG lijkt dat niet mogelijk, omdat de AVG bepaalt dat de verwerker rechtstreeks kan worden aangesproken. Dat geldt zowel voor civielrechtelijke aansprakelijkheid voor geleden schade, indien er sprake is van een inbreuk op de verordening door de verwerker of een inbreuk die aan hem kan worden toegerekend, als voor boetes die door de toezichthouder (in Nederland de Autoriteit Persoonsgegevens) worden opgelegd als gevolg van inbreuk op de AVG.
De taken van de verwerker zijn door de AVG een stuk bewerkelijker geworden dan onder het regime van de WBP. Het sluiten van een schriftelijke verwerkersovereenkomst is cruciaal onder de AVG en vormt onderdeel van de verplichting om de verwerking van persoonsgegevens zo goed mogelijk te kunnen documenteren. Hierover gaat de volgende blog: “AVG uitgediept #8: Accountability en documentatieplicht”. Indien er geen verwerkersovereenkomst voorhanden is, kan dit leiden tot een boete tot een maximum van € 10 miljoen of 2% van de wereldwijde jaaromzet. Het is daarom belangrijk om eens te inventariseren van welke verwerkers uw organisatie gebruik maakt, of wellicht ben u zelf een verwerker. In sommige gevallen kan er ook sprake zijn van een “mede-verantwoordelijke”.
Twijfelt u of u een verantwoordelijke of verwerker bent? Neem dan contact op met de privacy advocaten van Ten Holter Noordam. Wij assisteren u ook graag bij het opstellen van uw verwerkersovereenkomsten. Zorg ervoor dat ook de bestaande overeenkomsten ‘AVG-proof’ zijn bij inwerkingtreding van de AVG op 25 mei 2018.