Met wie moet ik op grond van de AVG-wetgeving een verwerkersovereenkomst sluiten?

Met wie moet ik op grond van de AVG-wetgeving een verwerkersovereenkomst sluiten?

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze privacywet is internationaal bekend als de General Data Protection Regulation (GDPR). Het gevolg van het van toepassing worden van de AVG is dat in de gehele Europese Unie dezelfde privacywetgeving geldt. De AVG is de opvolger van de Wet Bescherming Persoonsgegevens (WBP).

Kort en goed verschilt de AVG ten opzichte van de WBP op een aantal punten. Deze wijzigingen bestaan uit:

  • versterking en uitbreiding van de privacy rechten;
  • meer verantwoordelijkheden voor organisaties (verwerkingsverantwoordelijken, verwerkers, subverwerkers);
  • voor alle Europese privacy toezichthouders dezelfde stevige bevoegdheden.

 Een van de nieuw gecreëerde verantwoordelijkheden (2e bullet) voor een verwerkingsverantwoordelijke en een verwerker is het afsluiten van een verwerkersovereenkomst tussen deze partijen. In een verwerkersovereenkomst worden specifiek de privacyaspecten met betrekking tot het werk dat de verwerker verricht geregeld. Een veel gehoorde vraag vanuit het bedrijfsleven is of er met iedere door de ondernemer ingeschakelde partij een verwerkersovereenkomst moet worden gesloten.

Om te bepalen wanneer een verwerkersovereenkomst moet worden afgesloten, moet eerst het begrip “verwerker” worden gedefinieerd.

Een verwerker is een partij die in opdracht van een ander persoonsgegevens verwerkt en daarbij niet zelf het doel en de middelen (cumulatief) van de verwerking bepaalt. Indien zowel het doel als de middelen door de “verwerker” wordt vastgesteld is hij geen verwerker, maar verwerkingsverantwoordelijke. De AVG stelt een verwerkersovereenkomst tussen twee verwerkingsverantwoordelijken niet verplicht.

Naast de bovengenoemde (hoofd)eis moet een verwerker aan een aantal aanvullende eisen voldoen om aangemerkt te kunnen worden als verwerker.

De eerste aanvullende eis is dat een verwerker niet mag zijn onderworpen aan het rechtstreeks gezag van een verwerkingsverantwoordelijke. Geen sprake mag dus zijn van een zekere hiërarchische ondergeschiktheid. Hier is bijvoorbeeld sprake van bij een dienstverband of een detacheringsovereenkomst. In dat geval is geen verwerkersovereenkomst nodig.

Vervolgens moet de dienstverlening zijn gericht op het verwerken van persoonsgegevens en deze verwerking moet de primaire opdracht van de verwerker vormen. Wanneer de verwerking van persoonsgegevens een uitvloeisel vormt van een andere vorm van dienstverlening is geen sprake van verwerkerschap, maar is die partij zelf verwerkingsverantwoordelijke. Het enkele feit dat een opdracht wordt verstrekt door de verwerkingsverantwoordelijke is dus niet zonder meer voldoende om te kunnen spreken van verwerkerschap. Hier is bijvoorbeeld sprake van bij een door de gemeente ingeschakelde zorgaanbieder. In dat geval is geen verwerkersovereenkomst nodig.

Tot slot mag de verwerker geen zeggenschap hebben over de verwerkingen van de persoonsgegevens. De verwerker mag enkel en alleen handelen naar de instructies van de verwerkingsverantwoordelijke. Met andere woorden de verwerker dient de verwerkte persoonsgegevens enkel en alleen te gebruiken voor het doel waarvoor zij- in de eerste plaats- zijn verzameld. Hier is bijvoorbeeld sprake van wanneer een administratiekantoor met de verstrekte personeelsgegevens personeel gaat benaderen met de vraag of zij ook klant wil worden bij dat administratiekantoor. In dat geval is geen verwerkersovereenkomst nodig.

Samenvattend kan worden gesteld dat een verwerker:

  • niet het doel en de middelen van de verwerking bepaald;
  • niet onder het rechtstreeks gezag van de verwerkingsverantwoordelijke staat;
  • wel verwerking van persoonsgegevens als primaire opdracht heeft;
  • wel onder de uitdrukkelijke instructies van de verwerkingsverantwoordelijke werkt.

Als op grond van de bovenstaande toets wordt geconcludeerd dat een partij verwerker is, moet met deze partij een verwerkersovereenkomst worden afgesloten. Hierbij moet nog worden opgemerkt dat op grond van de AVG ook tussen een verwerker en een sub-verwerker (verwerker van de verwerker) een verwerkersovereenkomst moet worden afgesloten.

Indien blijkt dat in de relatie verwerker-verwerkingsverantwoordelijke geen verwerkersovereenkomst is afgesloten, kunnen beide partijen een boete krijgen.

Vragen?
Mocht u vragen hebben over de verwerkersovereenkomst of de AVG, dan toets ik uw concrete situatie graag aan de AVG-wetgeving. U kunt daarvoor vrijblijvend contact met mij opnemen.

P.J. (Pieter) Hiemstra

ADVOCATENKANTOOR ALDERSE BAAS

Wij zijn er om jou te helpen!

Door deze website te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten