De AVG: Verwerkingsverantwoordelijke, Verwerker en Verwerkersovereenkomst

Besteedt u uw salarisadministratie uit aan een administratiekantoor? Dan bent u de ‘verwerkingsverantwoordelijke’ en het administratiekantoor een ‘verwerker’ in de zin van de AVG.

De verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking van persoonsgegevens. U bepaalt wat het administratiekantoor met de persoonsgegevens van uw personeel moet doen.

De verwerker verwerkt persoonsgegevens in opdracht van en ten behoeve van de verwerkingsverantwoordelijke, zijn opdrachtgever. Er is sprake van een verwerker als zijn opdracht zich primair richt op het verwerken van persoonsgegevens. Als het verwerken van persoonsgegevens een bijkomende activiteit is die voortvloeit uit een andere hoofdtaak, dan wordt hij niet als ‘verwerker’ beschouwd

Veel gebruikte voorbeelden van verwerkers zijn internet service providers, SAAS-providers, call centers en online-marketingbureaus. In de praktijk is het helaas lang niet altijd makkelijk om te bepalen welke rol een partij heeft binnen een bepaalde relatie. Een zelfstandige accountant is bijvoorbeeld een verwerker als hij de salarisadministratie voor een klant uitvoert, maar hij is waarschijnlijk een zelfstandige verwerkingsverantwoordelijke als hij van diezelfde klant een brede controller-opdracht heeft gekregen zonder duidelijke instructies. In deze laatste rol vervult hij een zelfstandige positie en bepaalt hij het doel en de middelen.

In een eerdere blog gaven wij u tien tips om u voor te bereiden op de Algemene Verordening Gegevensbescherming. In deze blog zal ik nader ingaan op tip nummer 6: controleer uw verwerkersovereenkomsten. Als u met bepaalde verwerkers nog geen verwerkersovereenkomst hebt gesloten: sluit alsnog een overeenkomst af die voldoet aan de eisen van de AVG.

Allereerst vergt de AVG van de verwerkingsverantwoordelijke dat deze een gemotiveerde keuze maakt voor een bepaalde verwerker en ook controleert of de verwerker voldoet aan de eisen van de AVG. Op de verwerkingsverantwoordelijke rust de primaire verantwoordelijkheid en de plicht om aan te kunnen tonen dat hij heeft gekozen voor “een verwerker die afdoende garanties biedt met betrekking tot het toepassen van technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen is gewaarborgd.”

Dat is nogal wat, zeker als er sprake is van een kleine verwerkingsverantwoordelijke en een grote verwerker of van een kennisachterstand bij de verwerkingsverantwoordelijke. Ziet u zich al bij de Microsofts van de wereld aankloppen om een veiligheidsonderzoek te doen?

De AVG komt de verwerkingsverantwoordelijke tegemoet door te bepalen dat aansluiting door de verwerker bij een goedgekeurde gedragscode of een goedgekeurde certificering een element kan zijn om aan te tonen dat er sprake is van ‘afdoende garanties’. Verwerkers kunnen de verwerkersverantwoordelijken ook middels een Third Party Memorandum ervan overtuigen dat zij een betrouwbare partij zijn. Een Third Party Memorandum (TPM) of derdenverklaring is een verklaring van een onafhankelijke auditor die de organisatie van de verwerker heeft beoordeeld op voldoening aan de eisen die de AVG aan de verwerking stelt.

De AVG eist verder dat er een schriftelijke (of elektronische) overeenkomst wordt gesloten tussen de verwerkingsverantwoordelijke en de verwerker en stelt eisen aan de inhoud van die verwerkersovereenkomst. In artikel 28 AVG staat een hele lijst aan elementen die in ieder geval in een verwerkersovereenkomst moeten voorkomen, waaronder:

• Het onderwerp en de duur van de verwerking;
• De aard en het doel van de verwerking;
• Het soort persoonsgegevens en de categorieën van betrokkenen;
• De plicht van de verwerker om de persoonsgegevens alleen ten behoeve van de verwerkingsverantwoordelijke te verwerken, en niet voor zichzelf of ten behoeve van derden;
• De plicht tot het treffen van passende technische en organisatorische beveiligingsmaatregelen, waaronder een geheimhoudingsplicht, het beperken van toegang tot de gegevens op basis van een strikte need-to-know-basis,
• Geen inzet van sub-verwerkers, behalve met toestemming van deverwerkingsverantwoordelijke;
• Medewerking om de rechten van de betrokkenen te eerbiedigen en daaraan tegemoet te kunnen komen (denk bijvoorbeeld aan het recht op correctie van een persoonsgegeven);
• Medewerking aan Privacy Impact Assessments, aan onderzoeken door de Autoriteit Persoonsgegevens;
• Plicht tot teruggave of wissen van de persoonsgegevens bij het einde van de relatie (voor zover op de verwerker geen bewaarplicht rust).

De verwerkingsverantwoordelijke dient te controleren of zijn bestaande verwerkersovereenkomsten voldoen aan al deze eisen en zo nodig nieuwe overeenkomsten sluiten.

Hoewel het de verantwoordelijkheid is van de verwerkingsverantwoordelijke om een verwerkersovereenkomst te sluiten met elk van zijn verwerkers komt het in de praktijk veel voor dat een verwerker een eigen standaard verwerkingsovereenkomst voorstelt die is toegespitst op zijn specifieke dienstverlening.

Uiteindelijk is de concrete inhoud van een verwerkersovereenkomst maatwerk en het resultaat van contractsonderhandelingen. Zo wordt er bij een verwerkersovereenkomst bijvoorbeeld onderhandeld over risicoverdeling. De privacyrecht advocaten van PlasBossinade zijn u graag behulpzaam bij het opstellen of controleren van of bij het onderhandelen over een verwerkersovereenkomst.

In de volgende blog in deze serie zal nader ingegaan worden op de vereisten die door de AVG worden gesteld aan een privacyverklaring.

• Met 10 tips klaar voor Algemene Verordening Gegevensbescherming
• Maak uw organisatie AVG-proof: begin met een grondige inventarisatie
• Een datalek, wat moet ik ermee?
• Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?
• Register voor verwerkingsactiviteiten onder de nieuwe AVG
• De nieuwe privacyverklaring
• De AVG: Wat is een PIA en moet u daar iets mee?
• De AVG: Is uw beveiliging van persoonsgegevens op orde?