AVG; de verwerkersovereenkomst is essentieel

09 apr 2018 Ondernemingsrecht Erik van Loon

N.b. Dit artikel is meer dan een jaar geleden voor het laatst gewijzigd. De informatie kan verouderd zijn.
In diverse blogs van AK Advocaten is stilgestaan bij de nieuwe Algemene Verordening inzake Gegevensbescherming (AVG). Dimitri Kochx beschreef in zijn blog de gevolgen voor de vastgoedbranche en Frans van Meer beschreef eerder al de vijf belangrijkste wijzigingen voor werkgevers. Daarnaast organiseerde AK Advocaten op 16 januari jongstleden een lezing voor haar klanten over de gevolgen van deze nieuwe wetgeving. Ook de sectie ondernemingsrecht van AK Advocaten doet graag nog een duit in het zakje.

Verwerking door een derde

In de handelspraktijk is er vaak sprake van een situatie waarin de persoonsgegevens niet alleen bij de onderneming zelf liggen, maar er tevens een derde in het spel is betrokken. De onderneming kan het verwerken van de persoonsgegevens hebben uitbesteed aan een derde. In die gevallen zijn partijen ingevolge de AVG verplicht de afspraken met betrekking tot bepaalde onderwerpen (zoals registratie, melding, beveiliging etc.) schriftelijk vast te leggen in een overeenkomst. Het is verstandig om daarbij niet alleen stil te staan bij de onderwerpen die volgens de AVG verplicht zijn. De AVG brengt immers nieuwe verplichtingen en vergaande aansprakelijkheidsrisico’s met zich mee. In de overeenkomst dient om die reden ook stil te worden gestaan bij andere onderwerpen, zoals de verdeling van aansprakelijkheid.

Uitbesteden verwerking persoonsgegevens

Voorbeelden van het uitbesteden van de verwerking van persoonsgegevens die in de praktijk regelmatig voorkomen, zijn:
  • het opslaan van de persoonsgegevens in de ‘cloud’ bij een aanbieder van gegevensopslag,
  • de ondersteuning door een IT-bedrijf waarbij gegevens worden uitgewisseld en/of
  • het uitbesteden van de salarisadministratie.
In dat laatste geval verzamelt de onderneming de persoonsgegevens van haar medewerkers en bepaalt de onderneming het doel waarvoor deze gegevens worden gebruikt: de salarisadministratie. In de termen van de AVG is de onderneming daarmee aan te merken als: ‘verwerkingsverantwoordelijke’. Vervolgens worden deze persoonsgegevens door de onderneming ter beschikking gesteld aan het administratiekantoor. Die gebruikt de gegevens op haar beurt slechts binnen de opdracht die zij van de onderneming heeft gekregen: het verzorgen van de salarisadministratie. In de termen van de AVG is het administratiekantoor daarmee aan te merken als ‘verwerker’.

Verwerkersovereenkomst

De AVG stelt verplicht dat de verwerkingsverantwoordelijke en de verwerker een zogenoemde ‘verwerkersovereenkomst’ sluiten. Hierin leggen zij de tussen hen geldende afspraken over de wijze waarop de persoonsgegevens worden verwerkt schriftelijk vast. Onder de huidige wetgeving bestaat die verplichting overigens ook, maar nu heet de overeenkomst de ‘bewerkersovereenkomst’. Met het intreden van de AVG zullen de huidige (standaard) bewerkersovereenkomsten vermoedelijk niet meer voldoen. Met name niet op het punt van de verdeling van aansprakelijkheid en de plichten op het gebied van de rechten van de betrokkene. Opvallend is dat een aantal van de standaard verwerkersovereenkomsten die worden aangeboden niets over deze verdeling van aansprakelijkheid bevatten. Ze beperken zich enkel tot de onderwerpen die ingevolge de AVG verplicht zijn. Daar komt bij dat veel van deze standaard verwerkersovereenkomsten zich bedienen van zeer algemene bepalingen zoals: “de verwerker zal de technische en organisatorische beveiligingsmaatregelen treffen zoals beschreven in Bijlage 2”. Bijlage 2 vermeldt vervolgens dat daarin de normen en maatregelen nader dienen te worden gespecificeerd.

Aansprakelijkheid verwerkers groeit

Naast de verandering in naam van de overeenkomst brengt de AVG een aantal veranderingen en verschuivingen met zich in de plichten en verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker. Kort gezegd zal laatstgenoemde niet langer slechts gehouden zijn de instructies van de verwerkingsverantwoordelijke op te volgen. Dat is zeer vereenvoudigd weergegeven nu wel het geval. De verwerker is voortaan (net als de verwerkingsverantwoordelijke) gehouden zelf onder andere:
  • passende technische en organisatorische beveiligingsmaatregelen te nemen,
  • onverwijld te informeren ingeval van een datalek en
  • medewerking te verlenen bij een verzoek van de privacy-toezichthouder.
Met name voor de verwerker geldt dat de omvang van de eventuele boete toeneemt onder de AVG. Daarnaast geldt dat de gevallen toenemen waarin de verwerker mogelijk aansprakelijk is.

Boetes bij schending AVG

Ingeval van een datalek of een schending van bepaalde verplichtingen uit de AVG, kan de toezichthouder in zeer specifieke gevallen een boete opleggen aan zowel de verwerkingsverantwoordelijke als de verwerker. Indien de verwerkersovereenkomst zou bepalen dat de verwerker volledig aansprakelijk is voor de gevolgen van een datalek dat te wijten is aan haar handelen, komen beide boetes uiteindelijk voor rekening van de verwerker. In veel standaard bewerkersovereenkomsten is dat op dit moment het geval. In het hiervoor gegeven voorbeeld gaat het dus om het administratiekantoor. Daarbij dient niet uit het oog te worden verloren, dat een dergelijke boete geen maximaal bedrag kent, maar gerelateerd is aan de jaaromzet van het gehele concern. Bovendien zal de verwerker (bijvoorbeeld het administratiekantoor) meerdere klanten hebben. Indien daarmee dezelfde afspraken zijn gemaakt, krijgt het administratiekantoor alle boetes (welke gerelateerd zijn aan de jaaromzetten van deze partijen) voor haar kiezen. De keerzijde is uiteraard net zo goed mogelijk. Is het datalek of de schending van de verplichting uit de AVG het gevolg van het handelen of nalaten van de verwerkingsverantwoordelijke zelf of het gevolg van haar instructie aan de verwerker? Dan is het mogelijk dat de verwerkingsverantwoordelijke beide boetes moet betalen. Het voorgaande staat nog los van de eventuele andere schadeclaims die partijen onderling bij elkaar kunnen neerleggen in dergelijke gevallen.

Conclusie

Ongeacht of uw onderneming kwalificeert als verwerkingsverantwoordelijke of als verwerker in de zin van de AVG; het is sterk af te raden om zomaar gebruik te maken van de standaard verwerkersovereenkomsten die worden aangeboden. Deze overeenkomsten zijn in veel gevallen te algemeen geformuleerd, bevatten slechts de minimale bepalingen om te voldoen aan de AVG en missen een adequate verdeling van aansprakelijkheid. Ingeval van calamiteiten zouden deze overeenkomsten ertoe kunnen leiden dat u voor zeer nare verrassingen komt te staan. Het verdient daarom aanbeveling om in overleg met uw advocaat (gespecialiseerd in privacywetgeving) te komen tot een voor uw situatie passende verwerkersovereenkomst. Het is nog onzeker of de verplichting tot het schriftelijk vastleggen van de afspraken ook op de verwerker rust of dat van hem verwacht wordt hier actief op aan te sturen. Het verdient echter ook in die gevallen aanbeveling om dit te doen. De vraag of de onderneming wordt aangemerkt als verwerker hangt namelijk samen met de vraag of zij de gegevens verwerkt binnen het kader dat haar door de opdrachtgever (de verwerkingsverantwoordelijke) is opgelegd of zij de gegevens voor haar eigen doeleinden verwerkt. Ter voorkoming van misverstanden achteraf, kan alles maar beter vastliggen in een goede verwerkersovereenkomst. Fotocredits: pressmaster / Adobe Stock

Over de blogger
Erik van Loon

Binnen het ondernemingsrecht heeft Erik twee duidelijke specialisaties: het faillissementsrecht en het rechtspersonen- & vennootschapsrecht. Het zijn voornamelijk ondernemers die vertrouwen op deze specialistische kennis van Erik.

Meer artikelen van Erik van Loon
Erik van Loon

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.