AVG-serie: verwerkersovereenkomst

De introductie van de meldplicht datalekken en een forse uitbreiding van de boetebevoegdheid van de toezichthouder leiden ertoe dat steeds meer organisaties zich bewust zijn van de wet- en regelgeving op het gebied van bescherming van persoonsgegevens. Veel organisaties weten inmiddels dan ook dat zij wettelijk verplicht zijn een bewerkersovereenkomst (onder de AVG ‘verwerkersovereenkomst’) af te sluiten als zij persoonsgegevens laten verwerken door een andere partij.

In dit stuk zal onder meer aandacht worden besteed aan het begrip ‘verwerken’ en de onderwerpen die in een verwerkersovereenkomst moeten worden opgenomen. Daarbij zal ook worden aangegeven wat de verschillen zijn tussen de Wet bescherming persoonsgegevens (‘Wbp’) en de Algemene Verordening Gegevensbescherming (‘AVG’), die vanaf 25 mei 2018 van toepassing zal zijn.

Terminologie

Een verwerkingsverantwoordelijke (onder de Wbp ‘verantwoordelijke’) is een organisatie of persoon die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Een verwerker (onder de Wbp ‘bewerker’) is de partij, die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Ook deze twee begrippen veranderen dus onder de AVG. De betekenis blijft echter nagenoeg ongewijzigd. In de Engelse versie van de AVG blijven deze begrippen overigens hetzelfde (‘controller’ en ‘processor’).

Wij zullen hierna spreken over verwerkingsverantwoordelijke, verwerker en verwerkersovereenkomst, maar daarmee worden ook verantwoordelijke, bewerker en bewerkersovereenkomst bedoeld.

Verwerken

Veel organisaties besteden bepaalde delen van hun bedrijfsvoering uit. Denk hierbij aan de salarisadministratie, ziekteverzuimsystemen, klantenservice of ICT. Organisaties die dit deel van de bedrijfsvoering van de verwerkingsverantwoordelijke (deels) voor hun rekening nemen, zijn in de regel verwerker in de zin van de AVG en Wbp.

Verwerking is namelijk een zeer ruim begrip. Daarvan is bijvoorbeeld sprake als persoonsgegevens worden bewaard of opgevraagd, maar ook als persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, afgeschermd of uitgewist. En wanneer sprake is van verwerking door een verwerker zijn partijen wettelijk verplicht om een schriftelijke verwerkersovereenkomst te sluiten.

Onderwerpen verwerkersovereenkomst

In een verwerkersovereenkomst maken partijen afspraken over de verwerking van persoonsgegevens. Op grond van de Wbp zijn organisaties momenteel enkel verplicht om een drietal onderwerpen in de verwerkersovereenkomst op te nemen, namelijk dat:

  1. de persoonsgegevens slechts in opdracht van de verwerkingsverantwoordelijke verwerkt mogen worden;
  2. de verwerker de beveiligingsverplichtingen nakomt die op grond van de Wbp op de verwerkingsverantwoordelijke rusten; en
  3. de verwerker de verplichtingen nakomt die op de verwerkingsverantwoordelijke rusten als zich een datalek heeft voorgedaan.

De AVG beschrijft veel gedetailleerder wat er in de verwerkersovereenkomst moet staan en benoemt bovendien veel meer onderwerpen. Veel van deze onderwerpen zullen waarschijnlijk ook in uw huidige verwerkersovereenkomst voorkomen, maar deze zullen naar verwachting nog niet geheel in overeenstemming met de tekst van de AVG zijn. Wij raden daarom aan nog eens kritisch te bekijken of onderstaande in uw huidige verwerkersovereenkomst is opgenomen:

  • Schriftelijke instructies

In de eerste plaats moet in een verwerkersovereenkomst staan dat de persoonsgegevens uitsluitend door de verwerker mogen worden verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.

Deze schriftelijke instructies zullen grotendeels in de verwerkersovereenkomst zelf zijn opgenomen.

  • Vertrouwelijkheid

Daarnaast dient de verwerker te waarborgen dat de personen die gemachtigd zijn om persoonsgegevens te verwerken, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.

In de praktijk kan de verwerker aan deze verplichting voldoen door een geheimhoudingsbeding in de arbeidsovereenkomst op te nemen of door zijn werknemers een afzonderlijke geheimhoudingsverklaring te laten ondertekenen. Dit is niet nodig als personen op basis van een wettelijke verplichting al aan vertrouwelijkheid zijn gebonden (zoals artsen).

  • Beveiliging

Ten derde moet in de verwerkersovereenkomst worden opgenomen dat de verwerker voldoende passende technische en organisatorische beveiligingsmaatregelen neemt.

Om te beoordelen welke beveiligingsmaatregelen passend zijn, moet onder andere rekening worden gehouden met de stand van de techniek, de uitvoeringskosten, aard, omvang, context en de verwerkingsdoeleinden. Dat betekent bijvoorbeeld dat er strengere beveiligingsmaatregelen zullen moeten geïmplementeerd naarmate er over veel personen persoonsgegevens of bijzondere persoonsgegevens worden verwerkt.

  • Sub-verwerkers

Ook moet in de verwerkersovereenkomst worden vermeld dat een verwerker geen sub-verwerker in dienst mag nemen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke en dat aan een sub-verwerker dezelfde verplichtingen voor de verwerking van persoonsgegevens zullen worden opgelegd als de verplichtingen die voor de verwerker gelden.

  • Verzoeken van betrokkenen

Ten vijfde moet worden opgenomen dat de verwerker bijstand moet verlenen aan de verwerkingsverantwoordelijke bij het vervullen van diens plicht om verzoeken van betrokkenen te beantwoorden. Dit betreft onder meer verzoeken om inzage, correctie, verwijdering en dataportabiliteit.

  • Datalekken en DPIA

De verwerker moet eveneens bijstand verlenen aan de verwerkingsverantwoordelijke wanneer deze een zogenaamde Data Protection Impact Assessment wil (laten) uitvoeren of wanneer een datalek is ontstaan dat moet worden gemeld bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Ook dit moet als zodanig in de verwerkersovereenkomst worden geregeld.

  • Einde verwerkersovereenkomst

Verder moet in de verwerkersovereenkomst staan dat de verwerker, afhankelijk van de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert na afloop van de verwerkingsdiensten.

  • Audits

Tot slot moet de verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stellen die nodig is om de nakoming van zijn verplichtingen uit de AVG aan te tonen. Ook moet in de verwerkersovereenkomst staan dat de verwerker audits, waaronder inspecties, door (een door) verwerkingsverantwoordelijke (gemachtigde controleur) mogelijk moet maken en eraan moet bijdragen.

Wij zijn erg benieuwd hoe grote (cloud)leveranciers gaan reageren op deze auditverplichting. Voor grote bedrijven als Google en Amazon zal het immers een onwerkbare situatie opleveren wanneer zij om de haverklap mee moeten werken aan audits. De praktijk zal dit moeten gaan uitwijzen.

Meer weten?

Wilt u een verwerkersovereenkomst laten opstellen die voldoet aan de AVG? Wilt u uw huidige verwerkersovereenkomst laten reviewen? Of heeft u overige vragen over de AVG?

Neem dan contact op met Tom de Wit of Huub de Jong.