Lees meer over: Privacycultuur of Privacy


Iedereen een verwerkersovereenkomst!

“Better safe than sorry”, “beter mee verlegen dan om verlegen” en “brand is erger”.  Allemaal waar, maar nog geen reden om onnodig overeenkomsten te gaan afsluiten. Toch is dit wat ik nu op grote schaal zie gebeuren. Organisaties die data delen, sturen elkaar massaal verwerkersovereenkomsten toe. En niet alleen elkaar: ook de eigen medewerkers, de Belastingdienst en de bedrijfsarts moeten eraan geloven. Graag wel nog even zelf bijlage 1 t/m 4 invullen, uit naam van de AVG. Zonder verwerkersovereenkomst geen verwerking. Of toch wel? Laten we bij het begin beginnen.

Wat is een verwerker?

Niet iedereen die persoonsgegevens verwerkt, is ook écht een verwerker. De AVG onderscheidt twee verschillende rollen: die van verwerkingsverantwoordelijke (hierna kortweg “verantwoordelijke” genoemd) en die van verwerker. Beide verwerken persoonsgegevens, alleen bepaalt de eerstgenoemde zelf wat hij ermee doet en verwerkt de tweede de gegevens uitsluitend in opdracht van een ander. Alleen in dit laatste geval kan het afsluiten van een verwerkersovereenkomst aan de orde zijn.

Inderdaad: kán! Om te kwalificeren als verwerker in de zin van de AVG moet daarnaast nog aan een aantal andere voorwaarden zijn voldaan:

  • Het moet niet gaan om een partij die op grond van de wet al een eigen bevoegdheid heeft om de betreffende gegevens te verwerken. Het is dan immers niet de verstrekker van de gegevens die bepaalt wat de ontvanger ermee doet, maar de wetgever. Voorbeeld hiervan is de verwerking van gegevens door de Belastingdienst, of door een arts. Beide hebben vanuit hun rol een eigen, wettelijk verankerde verantwoordelijkheid en zijn zelf verantwoordelijk voor de persoonsgegevens die ze verwerken.
  • De verwerking van persoonsgegevens moet het primaire doel zijn van de inschakeling van de verwerker. Is de uitwisseling van persoonsgegevens niet het hoofddoel van de overeenkomst, maar slechts een afgeleide hiervan, dan is er géén sprake van een verwerker en zijn beide partijen zelf verantwoordelijk voor hun eigen gegevens. Denk hierbij aan het versturen van medewerkersgegevens naar een trainingsbureau. De kern van de overeenkomst is het verzorgen van een opleiding, het uitwisselen van persoonsgegevens is slechts een gevolg hiervan.
  • Er mag geen sprake zijn van een gezagsverhouding. De bevoegdheid om instructies te geven is dan immers al een gegeven. Een verwerkersovereenkomst met eigen of ingehuurde medewerkers afsluiten is dus nonsens.

In alle gevallen waarin weliswaar persoonsgegevens met een derde worden gedeeld, maar de verstrekker ervan niet nadrukkelijk aan de touwtjes trekt (in AVG-termen: “doel en middelen” bepaalt), is geen sprake van een verwerker. En is er dus geen verwerkersovereenkomst nodig.

Wanneer is dan wel een verwerkersovereenkomst nodig?

Een verwerker in de zin van de AVG is een partij die persoonsgegevens verwerkt waarvoor niet hijzelf, maar een ander de rol van verantwoordelijke heeft. Kenmerkend hierbij is dat de verwerking geheel namens de verantwoordelijke plaatsvindt, volgens strikte, expliciete afspraken. Gaan er bij de verwerker zaken mis, bijvoorbeeld in geval van een datalek, dan wordt in eerste instantie niet de verwerker, maar de verantwoordelijke hierop aangesproken.

Een veelgenoemd voorbeeld van een relatie waarin sprake is van een verwerker, is een externe salarisadministrateur. De opdracht bestaat hierbij expliciet uit het verwerken van gegevens, waarvoor de opdrachtgever verantwoordelijk is. Ander goed voorbeeld is de dienstverlening van cloud service providers, waarbij de dienstverlening letterlijk uit het opslaan, dus het verwerken van gegevens bestaat. Derde voorbeeld is het laten versturen van mailings door een extern communicatiebureau. In al deze gevallen bepaalt de opdrachtgever wat er met de verwerkte gegevens gebeurt, is er geen gezagsverhouding en is de verwerking van persoonsgegevens onmiskenbaar de essentie van de dienstverlening.

Verwerking van persoonsgegevens als “bijvangst”

Worden er persoonsgegevens gedeeld, maar is dit niet de kern van de overeenkomst, dan is de ontvanger van de data hiervoor zelf verantwoordelijke, en dus geen verwerker. Dit betekent dat hij zelf beslist waarvoor hij deze gebruikt en hoe hij ermee omgaat, uiteraard binnen de wettelijke en contractuele grenzen. Voorbeelden hiervan zijn overal te vinden. Denk bijvoorbeeld aan de uitwisseling van betaalgegevens met een bank, het delen van personeelsgegevens met een pensioenfonds en het doorgeven van verzekeringsgegevens van een tussenpersoon aan een verzekeraar. In al deze gevallen is dus geen sprake van een verwerker. Een verwerkersovereenkomst is dus ook niet nodig.

Een variant op de situatie waarin elke partij verantwoordelijk is voor de eigen gegevens, is dat partijen gezamenlijke verantwoordelijk zijn voor één verwerking. Voorbeeld hiervan is een gemeenschappelijke  database, die door meerdere organisaties wordt gevoed en waarvoor gezamenlijk de toepassing wordt bepaald. In deze gevallen moet in een onderlinge regeling  worden vastgelegd welke afspraken met betrekking tot de rechten en verplichtingen uit de AVG zijn gamaakt.

Wat te doen?

De enige manier om te bepalen met welke partijen daadwerkelijk een verwerkersovereenkomst moeten worden afgesloten, is de lijst met relaties en leveranciers helemaal langs te lopen. En bij twijfel expliciete afspraken over de AVG-rollen met elkaar te maken. Het resultaat is in ieder geval dat je je er weer volop van bewust bent welke gegevens je met anderen deelt. Waarbij je je uiteraard ook de vraag kunt stellen in hoeverre dit gerechtvaardigd is. De ervaring leert dat voor de meeste organisaties uiteindelijk slechts klein deel van de relaties daadwerkelijk als verwerker is aan te merken. Het advies is dus om het versturen van verwerkersovereenkomsten te beperken tot die relaties van wie je zeker bent dat deze aan de eisen hiervoor voldoen. Ben je zelf niet actief als extern administratiekantoor, als cloud service provider of in een andere tak van uitgesproken “verwerkers-business”, dan zou ook het aantal verwerkersovereenkomsten dat je ontvangt beperkt moeten zijn. En anders in ieder geval het aantal dat je echt moet afsluiten.

Hulp nodig bij het uitleggen van het bovenstaande aan uw relaties? Of last van andere prangende AVG-vragen? Neem gerust contact met ons op. Of raadpleeg onze app “AVG Toolbox”, gratis te downloaden in de iOS en Android app stores.