Neem contact op

De AVG Fabeltjeskrant – Deel 3: Verwerkersovereenkomst

21 juli 2021

Maar ik doe toch helemaal niets met die gegevens?!

De Algemene Verordening Gegevensbescherming (AVG) brengt een heleboel teweeg. Organisaties moeten aan de AVG voldoen, betrokkenen (lees: personen over wie gegevens worden verwerkt) komen allerlei rechten toe met betrekking tot hun persoonsgegevens en er wordt gestrooid met boetes en berichten over datalekken.
De consultants van Cuccibu leren én verspreiden in de dagelijkse privacy-praktijk allerlei interessante feiten, maar horen ook veel ‘AVG-fabeltjes’ aan. In deze blogreeks behandelen wij tweewekelijks een interessante of veelgehoorde misvatting over de AVG. Wij besteden ook aandacht aan de ‘feiten achter het fabeltje’.

De webbouwer van mijn klant was er heilig van overtuigd dat er met hem géén verwerkersovereenkomst hoeft te worden gesloten, want hij ‘doet helemaal niets’ met gegevens. In de eerste instantie dacht mijn klant “Dat is toch mooi, scheelt ons weer wat papieren rompslomp…”. Totdat ik hem er op wees dat dit waarschijnlijk nét even anders ligt in de praktijk. Doorvragen is niet voor niets een zeer belangrijk onderdeel van mijn rol als privacy professional (tot de frustratie van sommigen aan toe ;)).

AVG-fabeltje van vandaag: Ik ben geen verwerker, want ik doe niets met de gegevens!

De meeste organisaties houden zich het liefst zo veel mogelijk bezig met hun corebusiness en zo min mogelijk met zaken waar zij geen verstand van hebben. Dat is niet meer dan logisch en daarom wordt er ook geregeld werk uit handen gegeven. Zoals het laten bijhouden van de (loon)administratie of, zoals mijn klant uit het voorbeeld, het laten bouwen, beheren én hosten van een website. Door het geven van deze opdracht aan een specialist win je een professionele website. Tegelijkertijd ‘verlies’ je als het ware een stukje controle. De webbouwer krijgt namelijk bij het uitvoeren van de werkzaamheden en het beheren van jouw website toegang tot persoonsgegevens van jouw websitebezoekers (denk aan: IP-adressen, ingevulde formulieren, nieuwsbrievenbestand, mogelijk zelfs locatiegegevens). Natuurlijk ga je ervan uit dat de webbouwer hier verantwoord mee omgaat en de veiligheid kan garanderen, maar door het sluiten van een overeenkomst kun je jouw wensen en eisen in dat kader op papier (laten) zetten.

Afspraken

Wanneer een andere organisatie betrokken wordt bij de verwerking van persoonsgegevens van jouw klanten, (of inwoners, cliënten, personeel, etc.) is het belangrijk én op grond van de AVG wettelijk verplicht om passende afspraken te maken met die wederpartij over de verwerking van persoonsgegevens. Die afspraken maak je door het sluiten van een overeenkomst, die overigens vormvrij is. De veelbesproken ‘verwerkersovereenkomst’ is daar de meest voorkomende vorm van, maar je kunt de afspraken bijvoorbeeld ook in algemene voorwaarden gieten of als bijlage aan een andere overeenkomst, bijvoorbeeld de hoofdovereenkomst, hechten. Het is van belang dat er in ieder geval afspraken worden gemaakt over die gegevensverwerking en dat er rechtsgevolgen aan verbonden zijn (dus zolang het om een rechtshandeling gaat, artikel 28 AVG).

Privacyrechtelijke rolverdeling

Er zijn allerlei soorten samenwerkingen denkbaar waarbij gegevens worden verwerkt. Het is daarbij niet altijd het geval dat een organisatie gegevens in opdracht van de ander verwerkt. Soms liggen de verhoudingen anders. Om te bepalen wat voor soort overeenkomst moet worden gesloten, moet eerst de ‘privacyrechtelijke rolverdeling’ worden vastgesteld. Een verwerkersovereenkomst sluit je alleen tussen een verwerker en een verwerkingsverantwoordelijke. Is bij de verwerking sprake van een relatie tussen twee verwerkingsverantwoordelijken die de verwerking voor een gezamenlijk doel uitvoeren? Dan maak je wel afspraken, maar is een verwerkersovereenkomst niet de juiste vorm. Dat soort overeenkomst wordt vaak aangeduid als ‘overeenkomst gezamenlijke verantwoordelijkheid’ of ‘data-uitwisselingsovereenkomst’, en hangt qua invulling af van de relatie en de beoogde verdeling van verantwoordelijkheden. De twee rollen in het kort:

  • Verwerker: de organisatie die in opdracht én ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
  • Verwerkingsverantwoordelijke: de organisatie die het doel en de middelen bepaalt voor de verwerking van persoonsgegevens. Let op: dit gaat niet om financiële middelen, maar om het bepalen van bewaartermijnen en de wijze van verwerking (wat er verder met gegevens mag worden gedaan en hoe).

Doorvragen

Het vaststellen van de privacyrechtelijke rolverdeling is niet altijd even simpel en helder. Sterker nog, juristen onderling hebben hier ook nog vaak genoeg interessante discussies over. Het belangrijkste is dat men de feiten over de specifieke situatie op tafel heeft (jazeker: doorvragen dus!). Maar hoe zit dat dan met onze webbouwer? Hij zet een website op, biedt support en zorgt voor de nieuwsbrieven. Hij claimt echter dat hij niets doet met gegevens… De hamvraag is echter: kán hij iets doen met de gegevens? Je raad het al, dat kan hij! Vanwege zijn beheer/support/hosting rol heeft hij toegang tot en invloed op de verwerking. Als beheerder moet hij bijvoorbeeld zorg dragen voor een beveiligde gegevensstroom en de beschikbaarheid van formulieren. Dit is al genoeg om een verwerker te zijn. De reden waarom wij dit soort afspraken maken, moeten wij ook niet vergeten: je geeft een stukje werk uit handen terwijl je er zelf eindverantwoordelijk voor blijft. Daarom wil je dat er zorgvuldig wordt omgegaan met persoonsgegevens die aan de orde zijn, systemen veilig zijn én er afspraken liggen voor als er iets verkeerd gaat. Het feit dat er geen ‘spannende’ dingen worden gedaan met persoonsgegevens en er op het eerste gezicht niet veel actieve handelingen worden uitgevoerd met de persoonsgegevens, betekent dus niet dat er geen verwerkerschap is en er geen afspraken hoeven te worden gemaakt. Natuurlijk kan dit wel invloed hebben op de zwaarte van de eisen die je als verwerkingsverantwoordelijke aan jouw verwerker stelt.

Let op: sinds de AVG is het niet meer alleen de verwerkingsverantwoordelijke die verantwoordelijk is voor het sluiten van een verwerkersovereenkomst. Óók de verwerker is verantwoordelijk voor het maken van passende afspraken.

Heb je vragen naar aanleiding van dit artikel, of advies nodig over privacyrechtelijke rolverdelingen en/of -overeenkomsten? De consultants van Cuccibu staan graag voor jou(w organisatie) klaar!

 

Hulp nodig?

De auteur Linde Mensink is Privacy & Legal consulent bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!

Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via: info@cuccibu.nl of +31 (0) 85 3030 2984.

Deel deze pagina! Kies je platform