KienhuisHoving-Academy KienhuisHoving-Academy
Website
KienhuisHoving-Academy

Verwerkersovereenkomst: wel of niet nodig?

Geplaatst op 19 november 2018 10:57 door Tom Pool

Van het uitbesteden van loonadministratie tot het opslaan van een klantenbestand bij een cloudprovider: regelmatig worden persoonsgegevens aan externe partijen verstrekt. Soms moet de opdrachtgever in zo’n geval met de betreffende externe partij – de opdrachtnemer – een ‘verwerkersovereenkomst’ sluiten. Wat is een ‘verwerkersovereenkomst’ en wanneer is deze overeenkomst nodig?

Verwerkersovereenkomst

Een ‘verwerkersovereenkomst’ is een overeenkomst waarin de betrokken partijen afspraken maken over de persoonsgegevensverwerkingen die de opdrachtnemer voor de opdrachtgever uitvoert. Sommige organisaties kiezen ervoor om – zekerheidshalve – met alle partijen waarmee zij persoonsgegevens delen een verwerkersovereenkomst te sluiten. Dit is echter niet zonder risico. Door ten onrechte een verwerkersovereenkomst te sluiten, kan in strijd gehandeld worden met de Algemene verordening gegevensbescherming. Dit kan aanzienlijke boetes tot gevolg hebben. Het risico op boetes bestaat vanzelfsprekend ook als ten onrechte geen verwerkersovereenkomst is gesloten.

De verplichting tot het sluiten van een verwerkersovereenkomst bestaat indien en voor zover de betreffende opdrachtnemer ten opzichte van de opdrachtgever kwalificeert als verwerker. Wanneer is dit het geval?

Verwerker en verwerkingsverantwoordelijke

Met betrekking tot de verplichting tot het sluiten van een verwerkersovereenkomst zijn de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ van belang. Een verwerkingsverantwoordelijke is de partij die, alleen of samen met anderen, het ‘doel’ van en de ‘middelen’ voor een persoonsgegevensverwerking vaststelt. Anders gezegd, hij neemt het initiatief voor het verwerken van persoonsgegevens en bepaalt op wat voor manier deze verwerking plaatsvindt.

De verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Hij verwerkt de persoonsgegevens in beginsel dan ook slechts voor het door de verwerkingsverantwoordelijke vastgestelde doel. Als het verwerken van persoonsgegevens slechts een bijkomstigheid is van de dienstverlening die de opdrachtnemer aanbiedt, dan verwerkt hij de persoonsgegevens in beginsel ten behoeve van zijn eigen dienstverlening en wordt aan dit criterium veelal niet voldaan. Als de dienstverlening daarentegen juist bestaat uit het verwerken van persoonsgegevens (bijvoorbeeld de opslag daarvan), dan zal veelal wel sprake zijn van een verwerking ten behoeve van de verwerkingsverantwoordelijke. De verwerker volgt ten aanzien van de persoonsgegevens die hij verwerkt de instructies van de verwerkingsverantwoordelijke en heeft in principe geen zelfstandige zeggenschap over het doel en de middelen van de verwerking.

Verwerken van persoonsgegevens

Van verzamelen en opslaan tot vernietigen: nagenoeg alle handelingen die met betrekking tot persoonsgegevens kunnen worden verricht kwalificeren als het ‘verwerken’ van persoonsgegevens.  ‘Persoonsgegevens’ zijn alle gegevens die (direct dan wel indirect) herleidbaar zijn tot natuurlijke personen. Denk hierbij aan namen, telefoonnummers, e-mailadressen, bankrekeningnummers, salarisgegevens en IP-adressen. Er is daarom al gauw sprake van het ‘verwerken’ van persoonsgegevens.

Risico’s

In de praktijk komen geregeld situaties voor waarin het vaststellen van de privacyrechtelijke rol van de betrokken partijen complex blijkt. Zo kan het zijn dat de opdrachtnemer samen met de opdrachtgever de voor de verwerking te gebruiken middelen vaststelt, bijvoorbeeld omdat hij meer technische kennis heeft van de middelen die voor de (voorgenomen) persoonsgegevensverwerkingen worden ingezet. Belangrijk is dat de verwerkingsverantwoordelijke in dat geval in principe nog steeds het initiatief neemt voor de verwerking. Er kan dan dus nog steeds sprake zijn van een verwerkingsverantwoordelijke-verwerker verhouding. Soms heeft een opdrachtnemer ook een ‘dubbele pet’ op ten aanzien van de persoonsgegevens die hij ontvangt van de opdrachtgever en zowel kwalificeren als (zelfstandig of mede) verwerkingsverantwoordelijke en als verwerker.

Naast mogelijke sanctionering door de Autoriteit Persoonsgegevens zijn er nog andere redenen om niet zomaar een verwerkersovereenkomst te ondertekenen. Zo wordt in een verwerkersovereenkomst vaak een (eenzijdige) aansprakelijkheidsregeling opgenomen voor schade die kan ontstaan bij de verwerking van de persoonsgegevens. Door het ondertekenen van een verwerkersovereenkomst kan een organisatie dus met vergaande aansprakelijkheidsrisico’s worden opgezadeld. Ook daarom is het van belang om van geval tot geval na te gaan of de betrokken partijen onder de AVG kwalificeren als verwerkingsverantwoordelijke of als verwerker.

Twijfelt u of u ten aanzien van een (voorgenomen) persoonsgegevensverwerking kwalificeert als verwerker of als verwerkingsverantwoordelijke? Heeft u een verwerkersovereenkomst ontvangen, maar vraagt u zich af of u deze moet tekenen? Neem dan contact met ons op. Wij denken graag met u mee!