EDPB concretiseert vereisten verwerkersovereenkomst

Verouderde verwerkersovereenkomsten resulteren in een overtreding van de AVG

Begin september 2020 publiceerde de European Data Protection Board (een onafhankelijk Europees orgaan dat toeziet op de toepassing van de AVG en de samenwerking tussen nationale toezichthoudende autoriteiten bevordert, hierna: 'EDPB') de conceptversie van haar nieuwe Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Deze guidelines staan momenteel open voor 'openbare raadpleging'; zij zijn dus nog niet definitief (waarover later meer). Wel zullen de definitieve guidelines waarschijnlijk noodzaken tot het wijzigen van tal van reeds gesloten verwerkersovereenkomsten. In de guidelines gaat de EDPB onder meer in op de begrippen 'verwerkingsverantwoordelijke' en 'verwerker', 'gezamenlijke verwerkingsverantwoordelijken', 'derden' en 'ontvangers', op de relatie tussen de verwerkingsverantwoordelijke en de verwerker en (meer specifiek) op de uitwerking van de verplichtingen uit de AVG in een verwerkersovereenkomst. Met name ten aanzien van die laatste twee onderwerpen worden verschillende zaken gespecificeerd en soms extensief uitgelegd. Dat heeft gevolgen voor de praktijk. Reden om daarbij nader stil te staan.

Verwerkers due diligence

Allereerst wordt er stilgestaan bij de reeds verplichte verwerkers due diligence. Dat wil zeggen dat de verwerkingsverantwoordelijke uitsluitend een beroep mag doen op verwerkers die afdoende garanties bieden voor – kort gezegd – de naleving van de AVG. Nieuw is dat de EDPB concretiseert hoe dit in de praktijk vorm moet krijgen. De verwerker moet aantonen dat hij de voornoemde garanties biedt, bijvoorbeeld door het overleggen van relevante documentatie (zoals een privacyverklaring, het verwerkingsregister, een privacybeleid, een informatiebeveiligingsbeleid en beveiligingscertificaten). Het gaat om een soort risico-inventarisatie, waarbij de verwerkingsverantwoordelijke voor elk geval opnieuw zal moeten beoordelen of de verwerker een bepaalde verwerkingsactiviteit kan worden toevertrouwd. Bij de beoordeling moet de verwerkingsverantwoordelijke in ieder geval rekening houden met de expertise, betrouwbaarheid en de beschikbare middelen van de verwerker. Ook de reputatie van de verwerker kan relevant zijn.

Bewerkersovereenkomsten

Specifiek benoemt de EDPB (in principe ten overvloede) dat niet kan worden volstaan met verwerkersovereenkomsten die zijn aangegaan voorafgaand aan het van toepassing worden van de AVG, maar daarop nog niet zijn afgestemd. Het hanteren van verouderde verwerkersovereenkomsten (zoals de 'bewerkersovereenkomsten' zoals we die in Nederland kenden onder de oude Wet bescherming persoonsgegevens) resulteert in een overtreding van de AVG.

Aanpassen verwerkersovereenkomst

In de guidelines wordt ook benadrukt dat een verwerkingsverantwoordelijke zich niet van de verplichting tot het sluiten van een juiste verwerkersovereenkomst kan disculperen door te stellen dat de verwerkersovereenkomst van de verwerker afkomstig is of door te wijzen op een eventuele 'imbalance of power' tussen de verwerkingsverantwoordelijke en de potentieel grote en invloedrijke verwerker (denk aan partijen als Microsoft). De verwerkingsverantwoordelijke moet de verwerkersovereenkomst beoordelen en is, als zij deze vrijelijk accepteert en gebruik maakt van de aangeboden dienst, er volledig verantwoordelijk voor dat deze voldoet aan artikel 28 van de AVG. Door verwerker voorgestelde wijzigingen moeten telkens aan de verwerkingsverantwoordelijke worden voorgelegd en door hem worden goedgekeurd. Het enkele publiceren van wijzigingen op bijvoorbeeld de website van de verwerker voldoet niet aan art. 28 AVG, aldus de EDPB. Werk aan de winkel dus voor verwerkers die op deze manier hun verwerkersovereenkomst periodiek hebben bijgewerkt.

Inhoud verwerkersovereenkomst

Het meest opvallend is dat de EDPB in deze guidelines de vereisten uit art. 28 AVG specificeert en deels uiterst uitgebreid interpreteert. De EDPB stelt voorop dat in een verwerkersovereenkomst niet moet en kan worden volstaan met het herhalen van de verplichtingen als omschreven in de AVG. De verwerkersovereenkomst moet daarentegen meer concrete informatie omvatten over hoe aan die vereisten wordt voldaan. Daarbij moet rekening worden gehouden met onder meer de risico's die gepaard gaan met de persoonsgegevensverwerkingen. Deze uitleg kan grote gevolgen hebben voor de praktijk, nu in veel verwerkersovereenkomsten wordt volstaan met het herhalen van de verplichtingen uit de AVG. Dit leek – naar de tekst van de AVG – ook afdoende. Indien de verstrekkende specificering in de definitieve guidelines wordt overgenomen, noodzaakt dit waarschijnlijk tot het 'openbreken' en wijzigen van veel reeds gesloten verwerkersovereenkomsten.

In het oog springende onderdelen

Het gaat te ver om in deze blog stil te staan bij alle aspecten van verwerkersovereenkomsten waarop de EDPB ingaat. In plaats daarvan noemen we hierna de meest in het oog springende onderdelen:

  • Allereerst geldt dat de EDPB stelt dat partijen procedures op moeten nemen in de verwerkersovereenkomst over onder meer de wijze waarop de verwerkingsverantwoordelijke instructies aan de verwerker geeft, de wijze waarop zal worden voldaan aan verzoeken op basis van de rechten van betrokkenen en de wijze waarop de verwerker concreet invulling geeft aan de verschillende bijstandsverplichtingen jegens de verwerkingsverantwoordelijke (zoals het verlenen van bijstand bij het melden van datalekken en het uitvoeren van (D)PIA's).

  • Bovendien stelt de EDPB dat de verwerkersovereenkomst concrete informatie moet bevatten over de door de verwerker te treffen beveiligingsmaatregelen èn dat de verwerkersovereenkomst moet bepalen dat de verwerker toestemming vraagt aan de verwerkingsverantwoordelijke alvorens wijzigingen door te voeren in haar beveiligingsmaatregelen. Ook moeten deze maatregelen regelmatig worden herzien. Nu deze verplichting niet met zoveel woorden uit de AVG volgt, ontbreekt deze in veel verwerkersovereenkomsten. Mocht de EDPB vasthouden aan dit standpunt, dan zullen vermoedelijk veel reeds gesloten verwerkersovereenkomsten op dit punt moeten worden aangepast. Overigens is niet ondenkbaar dat deze extensieve uitleg van de EDPB in de praktijk tot onwerkbare situaties leidt, onder meer wanneer verwerkers voor grote aantallen verwerkingsverantwoordelijken persoonsgegevens verwerken.

  • Ook stelt de EDPB dat de verwerker, in geval van algemene toestemming voor het inschakelen van sub-verwerkers, de verwerkingsverantwoordelijke actief zal moeten informeren over eventuele voornemens om nieuwe sub-verwerkers in te schakelen. Dat wil zeggen dat niet kan worden volstaan met een algemene verwijzing naar een lijst (bijvoorbeeld op een website) waarop wijzigingen kenbaar zullen worden gemaakt. Ook dit zal in de praktijk nopen tot de nodige wijzigingen, nu een aantal grote verwerkers wel op deze manier werken. Daarbij stelt de EDPB dat partijen bij algemene toestemming criteria overeen moeten komen waaraan in te schakelen sub-verwerkers moeten voldoen. Een lijst met dergelijke criteria ontbreekt in tal van verwerkersovereenkomsten.

  • Interessant is dat de EDPB een ruime uitleg geeft aan de verplichting van verwerkers om sub-verwerkers dezelfde verplichtingen inzake gegevensbescherming op te leggen als die voortvloeien uit de verwerkersovereenkomst. De EDPB geeft aan dat de verplichting niet ziet op woordelijk dezelfde verplichtingen, maar op verplichtingen die praktisch gezien op hetzelfde neerkomen. Dit biedt de verwerker ruimte bij het sluiten van sub-verwerkersovereenkomsten.

  • Bovendien stelt de EDPB dat in de verwerkersovereenkomst de mogelijkheid moet worden opgenomen voor de verwerkingsverantwoordelijke om te kiezen of de persoonsgegevens na einde van de verwerkersovereenkomst aan hem moeten worden terugbezorgd en/of moeten worden vernietigd. Het is niet voldoende om deze keuze reeds bij voorbaat te maken en vast te leggen; expliciet moet de mogelijkheid worden opgenomen om deze keuze nog te wijzigen, aldus de EDPB.

Al met al geldt dat de EDPB lijkt te willen voorkomen dat partijen volstaan met een algemene, vaag verwoorde verwerkersovereenkomst die enkel gericht is op compliance met art. 28 AVG. In plaats daarvan moeten partijen nadenken over de concrete invulling van de daaruit voortvloeiende verplichtingen en specifieke afspraken daaromtrent vastleggen in de verwerkersovereenkomst.

Conceptversie

De guidelines staan momenteel nog open voor 'openbare raadpleging'. Dit betekent dat men zienswijzen en opmerkingen in kan dienen bij de EDPB. Vervolgens kan de EDPB deze concept-guidelines nog wijzigingen. De openbare raadpleging eindigt op 19 oktober 2020. Daarna zal de EDPB bezien in hoeverre de ingediende commentaren nopen tot aanpassing. Voor nu lijkt het er op dat er voor veel verwerkingsverantwoordelijken en verwerkers werk aan de winkel zal zijn. Het is dan ook van het grootste belang om de ontwikkelingen ter zake in de gaten te houden.

AVG-compliance is en blijft een doorlopend proces, dat vraagt om het regelmatig evalueren en bijwerken van uw 'persoonsgegevenshuishouding'. De verwerkersovereenkomsten die u hanteert zijn daar een onderdeel van. Is uw organisatie 'up-to-date'? Ramon Steenbergen, of één van zijn collega's, kijkt graag met u mee.