Help, een verwerkersovereenkomst!

Veel bedrijven die diensten leveren worden overspoeld door hun zakelijke klanten met verwerkersovereenkomsten. Vaak is dat terecht. Volgens artikel 28 van de AVG moeten er in een verwerkersovereenkomst bepaalde onderwerpen staan. En deze onderwerpen zitten vaak niet in verwerkersovereenkomsten van vóór de inwerkingtreding van de AVG. Deze moeten dus aangepast worden om te voldoen aan de AVG.

Helaas worden deze verwerkersovereenkomsten vaak uitgestuurd door inkoopafdelingen zonder dat deze eerst eens goed kijken naar de aard van de relatie met de leverancier. Het resultaat daarvan is dat bedrijven die helemaal geen verwerker zijn toch een verwerkersovereenkomst toegestuurd krijgen.

Wanneer ben ik dan verwerker of verantwoordelijke?

Indien je gegevens verwerkt ben je of verwerker of verantwoordelijke. De verantwoordelijke is degene die het doel en de middelen vaststelt voor de verwerking. Dit is een wat cryptische omschrijving, maar het gaat erom dat je bepaalt wat er met gegevens gebeurt. De verantwoordelijke is dus de partij die bepaalt welke gegevens gebruikt worden, voor welk doel deze gebruikt worden, hoe lang de gegevens bewaard worden, etc.

De verwerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Denk bijvoorbeeld aan een salarisadministratiekantoor, een hostingprovider, etc. Deze bepaalt niet zelf waarvoor gegevens verwerkt worden, maar volgt de instructies van de verantwoordelijke.

Gezamenlijk of zelfstandig verantwoordelijk

Als twee verantwoordelijken persoonsgegevens uitwisselen, dan kan er sprake zijn van twee verschillende type relaties: gezamenlijke of zelfstandig verantwoordelijken.

Partijen zijn gezamenlijk verantwoordelijk als ze gezamenlijk het doel en de middelen bepalen. Denk bijvoorbeeld aan de samenwerking tussen de Persgroep, Sanoma Media en TMG om samen advertentieprofielen op te stellen. Zij beslissen waarschijnlijk samen voor welk doel de gegevens uitgewisseld worden, namelijk het opstellen van een gezamenlijk advertentieprofiel. Ook gezamenlijke verantwoordelijken volgens de Europese rechter: de beheerder van een facebook fan-pagina en Facebook.

Verantwoordelijken kunnen soms ook persoonsgegevens uitwisselen waarbij partijen allebei zelfstandig verantwoordelijk blijven. Denk aan een ziekenhuis dat gegevens deelt met een zorgverzekeraar. In dat geval delen partijen dus wel gegevens, maar bepalen ze ieder zelf voor welk doel zij de gedeelde gegevens verwerken.

Ik ben (zelfstandig/gezamenlijk) verantwoordelijk, wat nu?

Sluit geen verwerkersovereenkomst als beide betrokken partijen verantwoordelijke zijn. De bepalingen van een verwerkersovereenkomst passen niet goed bij een relatie tussen verantwoordelijken. En door het sluiten van een verwerkersovereenkomst word je niet alsnog verwerker. De rechter en de toezichthouder zullen uiteindelijk altijd naar de feitelijke situatie kijken, niet naar de overeenkomst.

Heb jij ten onrechte een verwerkersovereenkomst ontvangen? Neem dan contact op met degene van wie je de verwerkersovereenkomst ontving en leg uit waarom een verwerkersovereenkomst een slecht idee is. In geval je zelfstandig verantwoordelijke bent, hoef je van de AVG verder niets te doen. Alhoewel het soms alsnog verstandig kan zijn om in dit geval afspraken vast te leggen (bijvoorbeeld: wat gebeurt er als er een datalek is of als iemand aanspraak maakt op zijn recht om vergeten te worden).

Bij gezamenlijke verantwoordelijken is het daarnaast belangrijk om transparant te zijn over hoe partijen hun gezamenlijke verantwoordelijkheid invullen. Dit schrijft de AVG ook voor. Let ook op dat de persoon van wie persoonsgegevens worden verwerkt, zijn rechten kan uitoefenen tegen beide verantwoordelijken. Als de ene verantwoordelijke een fout maakt, kan de benadeelde persoon dus ook bij de andere verantwoordelijke aankloppen. Het is daarom verstandig ook afspraken te maken voor als deze situatie zich voordoet.

Foto: Mike Lawrence

Sluit Menu