Een nieuw model van de verwerkersovereenkomst

Een nieuw model van de verwerkersovereenkomst

Een nieuw model van de verwerkersovereenkomst 150 150 Capra Advocaten

Het blijft een moeilijk vatbaar onderscheid, wanneer ben je verwerker en wanneer ben je verwerkingsverantwoordelijke?

Definities AVG

Volgens de definities in de AVG is de verwerkingsverantwoordelijke:

“een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.

Een verwerker is:

“een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”.

Verantwoordelijkheid

Met deze definities is het nog steeds lastig om het onderscheid te kunnen maken. De partij die eindverantwoordelijk is voor de opdracht en doel en middelen bepaalt (dus daarover zeggenschap heeft) is eindverantwoordelijke.

Verwerkingsverantwoordelijkheid kan bijvoorbeeld voortvloeien uit een uitdrukkelijke juridische bevoegdheid. Deze situatie doet zich voor wanneer een bepaalde bevoegdheid, taak of plicht die het verwerken van persoonsgegevens inhoudt, expliciet is opgedragen aan de verwerkingsverantwoordelijke. Bijvoorbeeld de verwerking van persoonsgegevens door het UWV, die voortvloeit uit wet- en regelgeving.

De verantwoordelijkheid kan daarnaast voortvloeien uit een impliciete bevoegdheid. Deze situatie doet zich voor wanneer er niet een expliciete bevoegdheid bestaat tot het verwerken van persoonsgegevens, maar op grond van de gangbare juridische regels en de maatstaven die gelden in het maatschappelijk verkeer de verwerkingsverantwoordelijkheid toekomt aan een specifieke natuurlijke of rechtspersoon. Een voorbeeld hiervan is de werkgever die gegevens van zijn personeel verwerkt of een sportclub die persoonsgegevens van zijn leden verwerkt.

Verwerkingsverantwoordelijkheid kan ook voortvloeien uit feitelijke invloed. Of hiervan sprake is kan meestal beoordeeld worden aan de hand van een tussen partijen gesloten overeenkomst. Wat is neergelegd in de overeenkomst is echter op zichzelf beschouwd nog niet doorslaggevend. Bepalend kan ook zijn de feitelijke situatie, zoals wie bepaalt welke gegevens worden verwerkt, welke bewaartermijnen gelden, wie zeggenschap heeft over de toegang tot gegevens, wie zeggenschap heeft over welke persoonsgegevens worden verwerkt, wie toegang heeft tot de verwerkte persoonsgegevens, etc.

De verwerkingsverantwoordelijke is dus degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, terwijl de verwerker degene is die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De dienstverlening van de verwerker moet gericht zijn op het uitvoeren van een bepaalde verwerking van persoonsgegevens ten behoeve van de opdrachtgever. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk.

Een veel gegeven voorbeeld van de relatie verwerkingsverantwoordelijke – verwerker is de werkgever (verwerkingsverantwoordelijke) die de salarisadministratie bij een extern administratiekantoor (verwerker) heeft belegd. Een voorbeeld van verwerkingsverantwoordelijke – verwerkingsverantwoordelijke is de werkgever die een advocatenkantoor om advies vraagt. Het advocatenkantoor is zelf verwerkingsverantwoordelijke ten aanzien van de eventueel te verwerken persoonsgegevens.

Op de website van de Autoriteit Persoonsgegevens is een handige voorbeeldlijst te vinden: “wie is hier de verwerker en wie de verwerkingsverantwoordelijke?” met daarbij de nodige uitleg.

Het onderscheid tussen de verwerkingsverantwoordelijke en de verwerker is van belang omdat de Algemene verordening gegevensverwerking (AVG) verplichtingen oplegt aan met name de verwerkingsverantwoordelijke. Op grond van artikel 24 van de AVG treft de verwerkingsverantwoordelijke namelijk passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking.

Verwerkingsovereenkomst

Als de verwerkingsverantwoordelijke gebruik maakt van een derde-partij die ten behoeve van hem persoonsgegevens verwerkt (de verwerker), draagt de verwerkingsverantwoordelijke de verantwoordelijkheid dat ook de verwerker passende technische en organisatorische maatregelen treft ter bescherming van de persoonsgegevens.

Partijen sluiten hiertoe een verwerkingsovereenkomst (artikel 28, derde lid van de AVG) waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.

Een aardig voorbeeld van een verwerkersovereenkomst is terug te vinden op de website van de VNG .

Nieuw model verwerkingsovereenkomst

Maar ook de Europese Commissie komt nu met een model verwerkersovereenkomst waarmee aan de vereisten van artikel 28, lid 3 en 4 van de AVG wordt voldaan .

Een verschil tussen beide modellen is dat het model van de Europese Commissie gedetailleerder is dan dat van de VNG en een concrete, verdergaande opsomming in de overeenkomst vereist van de technologische en organisatorische maatregelen die de verwerker treft om de beveiliging van persoonsgegevens te waarborgen.

Opvallend daarbij is dat als het gaat om de verwerking van bijzondere persoonsgegevens, het vervolgens aan de verwerker wordt overgelaten – volgens het model van de Europese Commissie – om in aanvullende waarborgen en/of specifieke beperkingen te voorzien.

Ondanks dat de verantwoordelijkheid hier bij de verwerker wordt gelegd (in de modelovereenkomst van de Europese Commissie) is de verwerkingsverantwoordelijke nog altijd op grond van de AVG de verantwoordelijke partij op dit punt. Een verantwoordelijkheid die niet weggecontractueerd kan worden. Het advies is om ook bij de verwerking van gevoelige persoonsgegevens de te treffen aanvullende waarborgen en/of specifieke beperkingen in de overeenkomst op te nemen zodat deze binnen de invloedssfeer van de verwerkingsverantwoordelijke blijven.

Het model van de Europese Commissie benoemt ook met name dat het personeel van de verwerker niet onbevoegd toegang mag hebben tot de persoonsgegevens en vertrouwelijkheid in acht moet nemen. Daar waar het model van de VNG dan ook met name inzoomt op de technologische beveiliging van de persoonsgegevens besteedt het Europese model eveneens aandacht aan de organisatorische beveiliging, die in de praktijk niet zelden een aanmerkelijk risico oplevert: de mens is veelal de zwakste schakel in de beveiliging van gegevens.

Een handigheid tot slot van het model van de Europese Commissie is dat nieuwe partijen aan de bestaande verwerkersovereenkomst eenvoudig kunnen worden toegevoegd, doordat in de eerste bepaling wordt verwezen naar ‘partijen’ welke benoemd worden in de bijlage, bij de overeenkomst. Aan de bijlage kunnen eenvoudig partijen worden toegevoegd of daaruit worden verwijderd.

Indien u meer informatie wilt over dit onderwerp of andere privacy gerelateerde onderwerpen kunt u te allen tijde contact opnemen met Capra advocaten.

Contact over dit onderwerp

Suzanne van Loon

Suzanne van Loon

Advocaat
Vestiging:
Maastricht
Sector:
Overheid
Expertteam:
Arbeidsrecht, Ambtenarenrecht, Wet openbaarheid van bestuur, Algemene verordening gegevensbescherming
Telefoon:
043 - 7 600 600
Mobiel:
06 18 50 10 68

Gerelateerd

Jurisprudentie selectie Zorg – november 2024 150 150 Capra Advocaten

Jurisprudentie selectie Zorg – november 2024

Artikel

lees meer
De arbeidsrechtelijke worsteling met diversiteit 150 150 Capra Advocaten

De arbeidsrechtelijke worsteling met diversiteit

Artikel

lees meer

Blijf op de hoogte

Blijf op de hoogte over ontwikkelingen, interessante jurisprudentie en wetswijzigingen op het gebied van arbeidsverhoudingen binnen de sectoren overheid, onderwijs en zorg. Selecteer welke nieuwsbrieven u wilt ontvangen en wij houden u op de hoogte.

Vestiging Den Haag
Laan Copes van Cattenburch 56
2585 GC Den Haag
Telefoon 070-364 81 02
Fax 070-361 78 47
denhaag@capra.nl

Vestiging ‘s-Hertogenbosch
Willem van Oranjelaan 2
5211 CT ‘s-Hertogenbosch
Telefoon 073-613 13 45
Fax 073-614 82 16
s-hertogenbosch@capra.nl

Vestiging Zwolle
Terborchstraat 12
8011 GG Zwolle
Telefoon 038-423 54 14
Fax 038-423 47 84
zwolle@capra.nl

Vestiging Maastricht
Spoorweglaan 7
6221 BS Maastricht
Telefoon 043-7 600 600
Fax 043-7 600 609
maastricht@capra.nl