7 aandachtspunten bij het opstellen van een verwerkersovereenkomst

Een verwerkersovereenkomst of data processing agreement (DPA) is een begrip uit de privacyregelgeving en wordt gesloten tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de bewerker (de leverancier).

Een bedrijf of organisatie wordt als verwerkingsverantwoordelijke aangemerkt wanneer het persoonsgegevens verwerkt. Een voorbeeld hiervan is een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer). Het bedrijf is verantwoordelijk voor de gegevens.

De bewerker (processor) is diegene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor, dat voor het bedrijf de salarisadministratie afhandelt, bewerker zijn. In deze gevallen is het verplicht een verwerkersovereenkomst af te sluiten.

Het opstellen van een verwerkersovereenkomst vereist altijd enig maatwerk. De werkwijze van organisaties en de wijze waarop een organisatie samenwerkt en gegevens uitwisselt met andere partijen verschilt van geval tot geval. Bij het opstellen van een verwerkersovereenkomst is het goed om met de volgende aandachtspunten rekening te houden:

1 – Een generieke overeenkomst voldoet niet

Om te voldoen aan de AVG dient vastgelegd te worden waarvoor de persoonsgegevens mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen. Iedere verwerkersovereenkomst is uniek. Een standaard overeenkomst (zoals de standaard van de IBD) kan gebruikt worden als basis, maar dient altijd aangepast te worden aan de specifieke situatie. Daarbij moet worden vermeld om welke persoonsgegevens het gaat en om welke categorie van personen (betrokkenen) het gaat.

2 – De uitgebreide rechten van betrokkenen stellen eisen aan de samenwerkingsrelatie tussen de verwerkingsverantwoordelijke en de bewerker

Betrokkenen, personen waarvan gegevens worden bijgehouden, hebben de mogelijkheid om op ieder moment op te vragen welke informatie is opgeslagen en wat met die informatie gedaan wordt. In geval van datalekken en beveiligingsincidenten, die (mogelijk) gevolgen hebben voor betrokkenen, dient direct gerapporteerd te worden. Van de bewerker kan verwacht worden dat hij meewerkt aan het adequaat informeren van de betrokkenen en in bepaalde gevallen de Autoriteit Persoonsgegevens. Dit stelt eisen aan de manier waarop de verwerkingsverantwoordelijke en de bewerker samenwerken en informatie uitwisselen.

3 – Maak afspraken over de kosten van een audit

De verwerkingsverantwoordelijke zal op ieder moment in staat willen zijn om de verwerking van persoonsgegevens te (laten) controleren. In sommige gevallen zal het nodig zijn een onafhankelijke partij in te schakelen om een dergelijke controle uit te voeren. Het is belangrijk om in de verwerkersovereenkomst vast te leggen wat de procedure hiervoor is. Bijvoorbeeld dat de audit slechts mag worden uitgevoerd na schriftelijke melding aan de bewerker en wie de kosten hiervan voor zijn rekening neemt.

4 – Zorg voor een realistische, evenwichtige verdeling van de aansprakelijkheid

Het is belangrijk goede afspraken te maken voor het geval het toch een keer verkeerd gaat. Wie is aansprakelijk als er door de Autoriteit Persoonsgegevens bestuurlijke boetes worden opgelegd? Het komt regelmatig voor dat afspraken betreffende aansprakelijkheid te summier worden beschreven of dat deze afspraken te eenzijdig zijn. In een evenwichtige situatie is het mogelijk om eventuele kosten te verhalen op een leverancier en moet de leverancier zich (kunnen) verzekeren. Het initiatief hiervoor moet van de verwerkingsverantwoordelijke uitgaan.

5 – De verwerkingsverantwoordelijke moet de regie behouden

Het is van eminent belang dat de verwerkingsverantwoordelijke de regie heeft over de hele keten. In geval van beveiligingsincidenten of als een betrokkene zijn rechten uitoefent of meent schade geleden te hebben, moet de verwerkingsverantwoordelijke snel kunnen schakelen en op korte termijn de relevante informatie boven tafel kunnen krijgen. Ook dit vereist een uitgebreide set van weloverwogen afspraken.

6 – Een verwerkersovereenkomst staat nooit op zichzelf

Een verwerkersovereenkomst is altijd gekoppeld aan een hoofdovereenkomst. Om het juridisch kader compleet te hebben, moet deze hoofdovereenkomst aanwezig én bij alle relevante partijen bekend zijn.

7 – Stel de verwerkersovereenkomst zo op dat hij ook onder de AVG geldig is

Per 25 mei 2018 is alleen nog de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Het is belangrijk de verwerkersovereenkomst zo op te stellen, dat deze ook onder de AVG geldig is. Dit stelt eisen aan de inhoud van de overeenkomst, aangezien de eisen die de AVG stelt, bijvoorbeeld op het gebied van transparantie, strenger zijn dan de Wbp