ZBC Kennisbank

Word jij ook door je leverancier overvallen met een verwerkersovereenkomst?

 

De afgelopen paar maanden zijn partijen druk geweest elkaar verwerkersovereenkomsten op te leggen. Vaak werken deze partijen al jaren naar volle tevredenheid samen, maar vanwege de AVG zadelen ze elkaar ineens op met een uitgebreid contract en een lading aan clausules en boetes. Als je niet oppast laat je je al snel in een hoek drijven met een contract waar je niet op zit te wachten. Is dit nu allemaal echt nodig?

De AVG vraagt verwerkingsverantwoordelijken een aanvullende overeenkomst te sluiten waarin de verantwoordelijkheden rond de bescherming van persoonsgegevens tussen partijen wordt geregeld. Een mooi streven dat in de praktijk aanleiding is voor een enorme stroom, vaak door juristen geschreven, overeenkomsten die bol staan van slimmigheden waar de wet niet om vraagt. Zo wordt getracht om verantwoordelijkheden te verleggen of te ontwijken en worden naast allerlei aansprakelijkheids- en verzekeringsclausules zelfs hoge boeteclausules opgenomen. Daarbij gaan partijen vaak helemaal los op detailniveau waarmee getracht wordt afspraken op een alles omvattende wijze te beschrijven en, je voelt het al aankomen: dat kost enorm veel tijd, creëert privaatrechtelijk lastig in te schatten risico’s en is in geen enkel opzicht waar de AVG om vraagt of wat bijdraagt gegevens veilig te houden.

Waar vraagt de AVG nu echt om?

Ondanks dat veel overeenkomsten en sjablonen daarvoor vol staan met informatie, zijn de eisen die vanuit de AVG geregeld moeten worden zeer summier. De volgende punten moeten opgenomen worden in de verwerkersovereenkomst:

  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking;
  • het soort persoonsgegevens en de categorieën van betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Verder dient in de verwerkersovereenkomst te worden bepaald dat de verwerker:

  • de persoonsgegevens alleen verwerkt onder de schriftelijke instructies van de verwerkingsverantwoordelijke;
  • waarborgt dat de toegang tot die gegevens is beperkt tot gemachtigde personen die gebonden zijn aan geheimhouding;
  • minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als de verwerkingsverantwoordelijke;
  • de verwerkingsverantwoordelijke alle mogelijke ondersteuning biedt bij het nakomen van diens verplichtingen;
  • de verwerkingsverantwoordelijke bijstaat bij het nakomen van diens verplichtingen;
  • na beëindiging van de overeenkomst de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens verwijdert;
  • de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat aan de AVG voldaan wordt;
  • afspraken met betrekking tot sub-verwerkers maakt.

Waarom doen we dan zo moeilijk?

De wet vraagt dus niet om het borgen van aansprakelijkheid tussen partijen, het verrekenen van schade of gevolgschade, het afdwingen van afspraken via boetebepalingen of het opleggen van verplichtingen om verzekeringen te sluiten!

Uitgaande van de eisen van de AVG kan een goede verwerkersovereenkomst in anderhalf tot twee A4’tjes geregeld zijn zonder dat daar een jurist aan te pas komt. Diezelfde overeenkomst mag dan ook best in klare taal geschreven worden.

Als dan duidelijk is wat er in de overeenkomst moet komen te staan komt de volgende stap waarbij het vaak mis gaat: wie moet de overeenkomst opstellen? Hierbij niet meegerekend is de vraag óf er überhaupt wel een overeenkomst moet zijn.

De vraag wie de overeenkomst moet opstellen is geen lastige, althans, dat zou het niet moeten zijn. Er is binnen de samenwerking één partij verantwoordelijk: de partij die van de wet de taak heeft gekregen de uitbesteding in afspraken te borgen. Dan moet er wél sprake zijn van een verwerking! (Zie ook vaak heeft een verwerkersovereenkomst geen waarde)

Een verwerkersovereenkomst is vaak helemaal niet nodig

Of er überhaupt een overeenkomst moet zijn is tot slot de belangrijkste vraag. Het antwoord hierop wordt vaak verkeerd gegeven. Wie in de wettekst zelf in de artikelen zoekt komt al snel tot de conclusie dat verwerken een zeer breed begrip is. Hierdoor ontstaat al snel de indruk dat elke vorm van contact met een snippertje naar een natuurlijke persoon te herleiden data een vorm van verwerking is waarvoor een overeenkomst moet worden gesloten. Niets is minder waar!De strekking of de kern van de opdracht moet bestaan uit het verwerken van persoonsgegevens. Een voorbeeld is de uitbesteding van de salarisadministratie. Dat ligt anders wanneer het verwerken van persoonsgegevens slechts bijgevolg is van de kern van de opdracht. De vermeende verwerker is dan meestal zelf verantwoordelijk. Denk hierbij bijvoorbeeld aan een pensioenverzekeraar waar persoons- en loongegevens van betrokkenen worden gedeeld om de pensioenverzekering te kunnen sluiten.

De wet stelt degene die het doel en de middelen bepaalt verantwoordelijk. In de praktijk komt het dan wel vaak voor dat de middelen door de verwerker worden bepaald. In het voorbeeld van de uitbestede salarisadministratie heeft de opdrachtgever het doel bepaald, namelijk het verwerken van salarismutaties en het opstellen van salarisberekeningen. Het administratiekantoor heeft hiervoor vaak zelf al de middelen bepaald, namelijk de software waarmee de verwerking wordt uitgevoerd.

Laat je dus niet door je verwerkers overvallen met door een jurist opgestelde lappen tekst waarin niet meer duidelijk is wie er waarvoor verantwoordelijk is. In de ‘Cursus Privacy Officer in de praktijk’ wordt de verwerkersovereenkomst uitgebreid besproken en krijg je de beschikking over de sjablonen en de toelichting. Hetzelfde geldt voor coachingstrajecten die ZBC uitvoert. Gewapend met een pragmatische aanpak neem je zelf het heft in handen en stel je een heldere overeenkomst op die zo dicht mogelijk bij de eisen van de wet blijft. Stuur deze alleen aan die partijen toe die werkelijk “verwerker” zijn aan wie daadwerkelijk een “verwerking” is uitbesteed. Zo maak je het overzichtelijk, efficiënt en voegt de overeenkomst echt iets toe aan het veilig(er) houden van persoonsgegevens.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Frank van Keulen | 18 september 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *