Français
English
Wat is een verwerkersovereenkomst?
In het derde deel van onze bloggenreeks gaan wij in op de verwerkersovereenkomst. Bent u als verwerker of als verwerkingsverantwoordelijke betrokken bij de verwerking van persoonsgegevens? Het is een relevant onderscheid voor de AVG. Er gelden verschillende verplichtingen voor deze twee figuren. In de praktijk komt het vaak voor dat verwerkingsverantwoordelijken en verwerkers samen persoonsgegevens verwerken. Het is dan ook belangrijk om schriftelijk vast te leggen hoe de relatie precies is geregeld.
Een gebalanceerde risicoverdeling is van belang. Vooral nu de AVG, vergeleken met het oude privacyregime, extra verplichtingen met zich meebrengt. Deze risicoverdeling kan worden vastgelegd in een zogenaamde verwerkersovereenkomst. Wanneer is iemand verwerkingsverantwoordelijke en wanneer verwerker? Waar dient u als onderneming mee rekening te houden bij het opstellen van een verwerkersovereenkomst? Hieronder een korte beschouwing.
Verwerkingsverantwoordelijke of verwerker?
Soms komt het voor dat een organisatie een ander bedrijf inschakelt voor een bepaalde opdracht. Denk bijvoorbeeld aan een bedrijf dat een boekhouder vraagt om de loonadministratie bij te houden. Het bedrijf geeft daarmee de boekhouder in feite de opdracht om persoonsgegevens te verwerken. In dat geval is het bedrijf die de opdracht geeft de verwerkingsverantwoordelijke en de boekhouder de verwerker. De verwerkingsverantwoordelijke is dus de onderneming die het doel en de middelen van de gegevensverwerking bepaalt.
De AVG vereist dat er bij een dergelijke samenwerking een verwerkersovereenkomst wordt opgesteld tussen de verwerkingsverantwoordelijke en verwerker. Op deze manier wordt duidelijk:
- wat het doel is van de verwerking;
- om welke categorie persoonsgegevens het gaat;
- welke categorie van betrokkenen; en
- welke rechten en verplichtingen er zijn over en weer.
Onderdeel is bijvoorbeeld welke maatregelen er worden genomen bij een datalek. Een goede verwerkersovereenkomst zorgt voor een gebalanceerde risicoverdeling tussen partijen.
Verwerkersovereenkomst in de praktijk
In de praktijk zal men vaak teruggrijpen op een standaard template voor een verwerkersovereenkomst die, routinegewijs, bij de start van de samenwerking wordt ondertekend. Toch is het belangrijk om met de komst van de AVG de nodige aandacht hieraan te besteden. Een onevenwichtige verdeling van risico’s kan ertoe leiden dat schade als gevolg van AVG-schendingen volledig door één partij wordt gedragen. Wie neemt onder welke omstandigheden de door de Autoriteit Persoonsgegevens (AP) opgelegde boete voor zijn rekening als er iets misgaat?
Denk aan een verkeerde afhandeling van een datalek. De AP kan in zulke gevallen beslissen om zowel de verwerkingsverantwoordelijke als de verwerker te beboeten. Een opgelegde boete aan een multinationale onderneming kan onder de AVG al gauw oplopen tot in de miljoenen. Een onbeperkte aansprakelijkheid van de verwerker zou kunnen betekenen dat deze volledig moet opdraaien voor deze kosten! Zeker wanneer het een verwerker betreft met een relatief geringe omvang kunnen de gevolgen hard aankomen.
Risico’s verdelen
Om dat te voorkomen is nadenken over een gebalanceerde risicoverdeling essentieel. Zo kunnen partijen vrijwaringen opnemen voor bepaalde schadesoorten, voor extreem hoge boetes of reputatieschade. Ook als het lek volledig is te wijten aan het handelen of nalaten van de verwerker kan de reputatie van de verwerkingsverantwoordelijke worden aangetast. Aan de hand van specifieke vrijwaringen in de verwerkersovereenkomst kunnen deze risico’s worden genormeerd.
Partijen kunnen ook van elkaar verlangen dat bepaalde schades worden verzekerd. Er zijn tegenwoordig verschillende verzekeraars die privacy-gerelateerde verzekeringen aanbieden. Vooral in een samenwerking, waarbij partijen qua omvang sterk van elkaar verschillen, is het voor kleinere bedrijven belangrijk om zich goed in te dekken tegen te grote aansprakelijkheid en boetes. In dit soort gevallen adviseren wij steeds om met een expert na te gaan welke risico’s er bestaan en hoe de verantwoordelijkheid onderling te verdelen. Het is de basis voor een gebalanceerde risicoverdeling in de verwerkersovereenkomst!
Klik voor de volgende blogs: