Met de AVG (GDPR) op komst dien je de verwerkersovereenkomst op orde te hebben. Er worden veel inhoudelijke eisen gesteld aan de afspraken tussen verwerkingsverantwoordelijke en verwerker. Welke acties zijn verplicht? Wat is een ‘verwerker’ en hoe zit de verwerkersrelatie in elkaar? Ad Schaafsma (Jurist, CDPO en Security Consultant) maakt de nieuwe wet- en regelgeving overzichtelijk, geeft voorbeelden en helpt zodat je klaar bent voor 25 mei.
Onder de AVG, met een flink handhavingsinstrumentarium voor de toezichthouder, worden er nu veel meer inhoudelijke eisen aan de afspraken tussen de verwerkingsverantwoordelijke en de verwerker gesteld. En met eigen rechten en plichten van de verwerker rechtstreeks vanuit de AVG is het maken, vastleggen en nakomen van de nodige afspraken belangrijker dan ooit. Voor beide partijen! Want ook de verwerker kan zelfstandig een bestuurlijke boete ontvangen. Zowel de verwerkingsverantwoordelijke als de verwerker kunnen dus een boete krijgen voor eigen tekortkomingen en niet persé (vooral relevant voor de verwerkingsverantwoordelijke) voor tekortkomingen van de ander.
De verwerkersovereenkomst
Het gevolg is dat de markt wordt overspoeld met verwerkersovereenkomsten. Soms nog gebaseerd op de WBP met een verwijzing naar ‘overeenkomstige toepassing onder’ de AVG, in steeds meer gevallen herschreven voor de AVG. Het eerste is niet altijd verstandig omdat, zoals gezegd, de AVG een reeks van inhoudelijke eisen aan de afspraken stelt die de WBP niet zo expliciet maakte. Denk hierbij aan:
- Vastgelegde instructies
- Geheimhouding aan verwerkend personeel opleggen
- Verwerking in of doorgifte aan alleen ‘adequate countries’ (in de praktijk EU/EER, privacy shield en enkele door de Commissie als ‘adequate’ genoemde landen)
- Toestaan en mogelijk maken van audits en onderzoeken
- Treffen van passende technische en procesmatige beveiligingsmaatregelen
- Teruggeven of onleesbaar maken van persoonsgegevens bij einde van de verwerking
Maar ook als dit alles goed in een verwerkersovereenkomst is opgenomen, is het niet per definitie duidelijk en geregeld. En dat begint bij het begin: is er verwerking van persoonsgegevens en is er een verwerkersrelatie? Een verwerkersrelatie is niet altijd meteen aan de orde als meerdere partijen bij verwerking van persoonsgegevens zijn betrokken. Wij merken dat als een soort ‘reflex’ zodra verwerking van persoonsgegevens aan de orde is, naar de verwerkersovereenkomst wordt gegrepen. Terwijl dat zeker niet altijd nodig of zelfs wenselijk is.
Wanneer is er een verwerker?
Laten we het eens uitdiepen. Om te beginnen bij het begrip ‘verwerken’. In essentie is dat alles wat met persoonsgegevens gedaan wordt of kan worden. Inzien, veranderen, opslaan, doorgeven, verwijderen, vernietigen, enz. Een partij die inzage kan hebben in bepaalde persoonsgegevens kan ook al verwerker zijn. Zelfs als hij er verder niets mee doet, kan doen, wil doen of mag doen.
Wat is een verwerker? Dat is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt” (art. 4 onder 8 AVG). De uitleg bij de richtlijn waarop de WBP is gebaseerd en bij de WBP zelf is dat de verwerker niet rechtstreeks onder het gezag of toezicht van de verwerkingsverantwoordelijke valt. In dat geval is er geen verwerker maar handelen van de verwerkingsverantwoordelijke zelf, ook wel intern beheer genoemd. Bijvoorbeeld bij detachering of uitzendwerk, of werkzaamheden als ZZP’er leidt het werken met persoonsgegevens in de regel dus niet tot een verwerkersrelatie, want de verwerkingsverantwoordelijke oefent direct gezag uit. In de handleiding AVG (paragraaf 3.5.1.) komt dit uitgangspunt weer terug.
Elementen verwerkersrelatie
De verwerkersrelatie kenmerkt zich dus door enkele elementen:
- Verwerking
- Niet onderworpen aan rechtstreeks gezag / geen hiërarchische verhouding
- Ten behoeve van een verwerkingsverantwoordelijke
Het enkel beschikken over of verkrijgen van persoonsgegevens van een verwerkingsverantwoordelijke maakt nog geen verwerker, daar is meer voor nodig. Er moet verwerking zijn ‘ten behoeve van’, wat onder meer betekent dat de opdracht primair gericht moet zijn op verwerking van persoonsgegevens. Let op, dit is een ruim begrip! Komt er verwerking bij kijken maar heeft de opdracht betrekking op een andere dienstverlening dan ontstaat er vanuit die context nog geen verwerkersrelatie.
Om het wat tastbaarder te maken: wiens organisatieproces is met de verwerking gediend, dat van de opdrachtgever of van de opdrachtnemer? Is dat het organisatieproces van de opdrachtgever, dan wijst dat eerder op een verwerkersrelatie (‘ten behoeve van’) dan wanneer de persoonsgegevens voor het organisatieproces van de opdrachtnemer worden gebruikt.
Voorbeelden ter illustratie:
- Het uitvoeren van een salarisadministratie. Het administratiekantoor is verwerker, want de opdracht gaat primair over verwerking van persoonsgegevens en het is ten behoeve van de opdrachtgever. Het ondersteunt primair het organisatieproces van de opdrachtgever, daarmee de verwerkingsverantwoordelijke.
- Het boeken van een reis (vakantie via reisbureau). De vliegmaatschappij, het hotel, het taxibedrijf enz. zijn geen verwerker van het reisbureau. Ze ontvangen weliswaar persoonsgegevens, maar verwerken die ten behoeve van zichzelf (het eigen organisatieproces). Daarom zijn zij zelf voor hun deel verwerkingsverantwoordelijke.
- Het uitvoeren van remote netwerkmanagement. Het IT bedrijf (de opdrachtnemer) is verwerker, want kan zeer waarschijnlijk iets met persoonsgegevens van de opdrachtgever, en ‘verwerkt’ die ten behoeve van de opdrachtgever (het organisatieproces van de opdrachtgever). De uitgevoerde dienst (beheer) is ook primair gericht op de verwerking van persoonsgegevens, al ervaart de IT’er dat in de regel niet zo.
- Het aanbieden van een clouddienst (SAAS). Dat kan beide kanten uitgaan en wordt een casuïstische beoordeling. Des te meer invloed en (feitelijke) zeggenschap de opdrachtgever over de uitvoering van de dienst heeft, des te eerder er een verwerkersrelatie is. Ook relevant is waarop de dienst betrekking heeft: hoe dichter dat bij de persoonsgegevens zelf komt, hoe sneller het naar een verwerkersrelatie gaat. Generieke cloudopslag bijvoorbeeld zal sneller een verwerkersrelatie opleveren dan een mobiele app voor een heel ander (persoonlijk) doel.