De verwerkersovereenkomst in de AVG: een niet te onderschatten must.

Vanaf 25 mei 2018 moeten organisaties (profit en non-profit) voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dit is privacywetgeving. Het gevaar van misbruik of oneigenlijk gebruik persoonsgegevens is de laatste jaren door internet sterk toegenomen en daarmee ook de kans dat allerlei privacygevoelige informatie gaat rondslingeren (“zwerfinformatie”) en in verkeerde handen komt.

Deze nieuwe privacywetgeving (in het Engels General Data Protection Resolution (GDPR) geheten, gaat voor de hele EU gelden. Het voornaamste doel van de AVG is het beschermen van de privacy grondrechten van de burgers binnen de EU. Iedere organisatie is daarbij verantwoordelijk voor het goed en tijdig in orde brengen van hun eigen systemen en processen.

Het centrale begrip in de AVG is “persoonsgegevens”. Dat is een heel ruim begrip en betreft alle informatie die direct over iemand gaat, ofwel naar deze persoon te herleiden is. Daarbij kan onder meer gedacht worden aan naam, adres, (pas)foto, telefoonnummer, personeelsnummer, bankrekeningnummer, kenteken en audio of video-opnames. Bijzondere personeelsgegevens zijn ras, godsdienst, gezondheid, strafrechtelijk verleden en seksuele geaardheid. Het burgerservicenummer (BSN) is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels.

Het kan zijn dat een organisatie deze persoonsgegevens verwerkt. Ook het begrip “verwerken” is heel ruim. Daar valt onder het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden uitwissen en vernietigen van deze gegevens.

Het wellicht bekendste voorbeeld is dat de organisatie van de werkgever personeelsdossiers heeft met daarin de persoonsgegevens van de werknemers. Behalve voor werknemers kan het verwerken van persoonsgegevens ook gelden voor patiënten, abonnees, klanten, cursisten en leerlingen.

Wanneer mag een organisatie gegevens verwerken? De basis van deze wet is dat er voor elke verwerking van persoonsgegevens een rechtvaardigingsgrond aanwezig moet zijn. Anders gezegd: een organisatie mag alleen data verwerken als deze een doel dient. De verwerking is daardoor onder meer rechtmatig als er uitdrukkelijk toestemming is gegeven (klant), bij het voldoen van een wettelijke verplichting of de bij uitvoering van een overeenkomst (arbeidsovereenkomst).

In deze bijdrage wordt vooral op de verwerkersovereenkomst ingezoomd. Wanneer is een verwerkersovereenkomst noodzakelijk? Daarbij beperk ik me tot de werknemers.

Als een werkgever bijvoorbeeld de salarisadministratie van zijn werknemers uitbesteed, dan heeft hij een verwerkersovereenkomst nodig. U bent dan volgens de AVG de verwerkingsverantwoordelijke en de organisatie die de salarisadministratie verwerkt de verwerker.

De AVG eist dan dat de verwerkingsverantwoordelijke werkgever aan de verwerker (salarisadministratie) een verwerkersovereenkomst verschaft. Het initiatief ligt hier dus bij de organisatie die haar persoonsgegevens uitbesteedt “buiten de deur”.

Daarnaast stelt de AVG (artikel 28, lid 3, AVG) ook vereisten aan de verwerkersovereenkomst verplicht is te voldoen, te weten:

• het specificeren van de verwerkingen die zullen plaatsvinden en het doel daarvan;
• het benoemen van de categorieën van betrokkenen (de personen waarvan de gegevens worden verwerkt);
• dat verwerking plaatsvindt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke;
• de waarborg dat verwerkers vertrouwelijkheid in acht nemen;
• dat de verwerker zorg draagt voor de technische en organisatorische beveiligingsmaatregelen;
• dat de verwerkingsverantwoordelijke voorafgaande specifieke of algemene schriftelijke toestemming aan de verwerker moet geven voor het inschakelen van een andere, subverwerker en dat aan die subverwerker door de verwerker dezelfde verplichtingen moeten worden opgelegd;
• dat de verwerker de verwerkingsverantwoordelijke assisteert bij het vervullen van zijn plicht om aan verzoeken van de betrokkene te voldoen (zoals verwijdering, wijziging, inzage of verstrekking in een gangbaar format van de persoonsgegevens);
• dat de verwerker de verantwoordelijke assistentie verleent bij andere verplichtingen zoals het melden van datalekken en het uitvoeren van een privacy impact assessment;
• dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert;
• dat de verwerker meewerkt aan een audit door de verantwoordelijke waarin deze nagaat of de verplichtingen uit de bewerkersovereenkomst worden nagekomen.

Ten slotte vermeldt de AVG ook de boete als er geen verwerkersovereenkomst voorhanden is en deze boetes zijn niet mals. De boetes kunnen oplopen tot een maximum van € 10 miljoen of 2% van de wereldwijde jaaromzet (art. 83 lid 4 AVG). Nu zal deze soep hoogstwaarschijnlijk niet zo snel worden gegeten als ze nu in de AVG wordt opgediend, maar toch, de boetes zijn niet mals.

Het doel van de boeteoplegging moet, zoals blijkt uit art. 83 lid 1 AVG, “in elke zaak doeltreffend, evenredig en afschrikkend zijn.”

Na 25 mei 2018 is het afsluiten een gedeelde verantwoordelijkheid voor zowel de verwerkingsverantwoordelijke als voor de verwerker. Beiden kunnen dan worden aangesproken op het niet afsluiten van een verwerkersovereenkomst..

Het afsluiten van een goede verwerkersovereenkomst is dan ook echt een must.