Wanneer is een verwerkingsovereenkomst noodzakelijk?

1. Wanneer is sprake van een ‘verwerkingsverantwoordelijke’?
Een verwerkingsverantwoordelijke bepaalt het doel waarvoor en de middelen waarmee persoonsgegevens worden verwerkt.
Een organisatie is een gezamenlijke verwerkingsverantwoordelijke als zij samen met één of meer organisaties gezamenlijk bepaalt „waarom” en „hoe” persoonsgegevens moeten worden verwerkt.

Twee ondernemingen zijn gezamenlijke verwerkingsverantwoordelijken, als zij niet alleen eventueel ‘gecombineerde diensten’ aanbieden, maar ook een gemeenschappelijk digitaal platform ontwerpen en gebruiken.

Gezamenlijke verwerkingsverantwoordelijken moeten natuurlijk wel een regeling treffen waarin hun respectieve verantwoordelijkheden voor de naleving van de AVG-regels worden vastgelegd.
De belangrijkste aspecten van deze regeling moeten worden meegedeeld aan de personen wier gegevens worden verwerkt.

2. Wanneer is sprake van een ‘verwerker’?
Een verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke. De verwerker is meestal een derde partij buiten de organisatie van de verwerkingsverantwoordelijke.

Voorwaarden
Er zijn twee centrale voorwaarden om verwerker te kunnen zijn:

• de verwerker is een aparte entiteit, die los van de verwerkingsverantwoordelijke staat, en
• de verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de verwerkingsverantwoordelijke.

Delegatie
Dit betekent dat de verwerker in het belang van iemand anders handelt in de zin van het juridische begrip “delegatie”.
In het kader van de wetgeving inzake gegevensbescherming dient een verwerker de instructies van de verwerkingsverantwoordelijke op te volgen, in ieder geval waar het gaat om het doel van de verwerking en de wezenlijke aspecten van de (geautomatiseerde) middelen.

3. Wanneer is een ‘verwerkingsovereenkomst’ verplicht?
De uitvoering van de verwerking door een verwerker dient te worden geregeld in een overeenkomst of een andere rechtshandeling, waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is. Deze overeenkomst omvat een nadere omschrijving van:

• het onderwerp,
• de duur van de verwerking,
• de aard,
• de doeleinden van de verwerking,
• het soort persoonsgegevens en
• de categorieën van betrokkenen.

Zo moet in de overeenkomst bijvoorbeeld worden aangegeven wat er met de persoonsgegevens gebeurt na beëindiging van de overeenkomst (exitregeling).
Een typische activiteit van verwerkers is het aanbieden van IT-oplossingen, waaronder cloudopslag.
De verwerker mag een deel van zijn taak enkel uitbesteden aan een andere verwerker, of een gezamenlijke verwerker aanwijzen, wanneer hij of zij vooraf schriftelijke toestemming van de verwerkingsverantwoordelijke heeft gekregen.

3.1 Verplichtingen verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke mag, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden. Dit, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van de AVG. Met name op het gebied van deskundigheid, betrouwbaarheid en middelen en de beveiliging van de verwerking. Het feit dat de verwerker zich aansluit bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan.

3.2 Verplichtingen verwerker
Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke, dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen (exitregeling), tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is de verplichting oplegt de persoonsgegevens op te slaan.

De volgende eisen moeten worden opgenomen in de verwerkingsovereenkomst [art. 28 lid 3 AVG]:

1. de verwerker verwerkt gegevens o.b.v. schriftelijke instructie van de verwerkingsverantwoordelijke;
2. de verwerker waarborgt vertrouwelijkheid omtrent de verwerking van persoonsgegevens;
3. de verwerker dient de voorschriften van art. 32 AVG (gegevensbeveiliging) op te volgen;
4. de verwerker moet subverwerkers laten voldoen aan 3. en 3. (back-to-back agreement)
5. de verwerker verleent bijstand aan de verwerkingsverantwoordelijke inzake verzoeken van betrokkenen;
6. de verwerker verleent bijstand aan de verwerkingsverantwoordelijke inzake diens verplichtingen;
7. een exitregeling inzake beëindiging verwerking;
8. het laten uitvoeren van audits door de verwerkingsverantwoordelijke bij de verwerker;
9. de verwerker stelt de verwerkingsverantwoordelijke in kennis ingeval een instructie inbreuk op persoonsgegevens oplevert.

 

4. Beleggen van verantwoordelijkheden

4.1 Transparantie
Voor de bescherming van de rechten en vrijheden van betrokkenen enerzijds, en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers anderzijds, is het noodzakelijk, dat de verantwoordingsplicht van de AVG op transparante wijze aan de betrokken partijen wordt toegewezen.

4.2 Opdracht
Vanuit dit oogpunt wordt de rechtmatigheid van de door de verwerker verrichte gegevensverwerking bepaald door de opdracht die hem daartoe door de verwerkingsverantwoordelijk is verstrekt.

Een verwerker die verder gaat dan zijn opdracht en een relevante rol krijgt bij het vaststellen van de doelen van, of de wezenlijke middelen voor de verwerking, is eerder een (gezamenlijke) verwerkingsverantwoordelijke dan een verwerker.

De rechtmatigheid van deze verwerking moet nog altijd worden getoetst aan andere artikelen (Bijv. de artt. 6 – 8 AVG).

4.3 Verwerker is tevens verwerkingsverantwoordelijke en vice versa
Het besluit van een verwerker om persoonsgegevens naast het doel waarvoor zij werden overgedragen nog voor een ander doel te gebruiken, maakt de verwerker voor deze verwerking een verwerkingsverantwoordelijke.

Er zijn situaties denkbaar waarin een organisatie een verwerkingsverantwoordelijke, of een verwerker, of beide kan zijn. Aldus de Europese Commissie.

Daaruit kan worden afgeleid, dat als het gaat om het leveren van maatwerk van een verwerkingsverantwoordelijke (1), op instructie van een andere verwerkingsverantwoordelijke (2), die uitsluitend zelf het doel en de middelen heeft vastgesteld van die specifieke verwerking, de verwerkingsverantwoordelijke (1) in deze opdrachtgever/opdrachtnemer relatie aangemerkt kan worden als een verwerker (3).
In dat geval is een verwerkingsovereenkomst noodzakelijk.

4.4 De verwerking an sich is leidend.
De Groep Gegevensbescherming, een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, erkent dat het moeilijk is om de definities van verwerkingsverantwoordelijke en verwerker toe te passen in een complexe omgeving, waarin vele scenario’s mogelijk zijn met voor de verwerkingsverantwoordelijken en verwerkers, alleen of gezamenlijk, met verschillende mates van autonomie en verantwoordelijkheid.

De groep benadrukt dan ook dat verantwoordelijkheden zodanig moeten worden belegd dat de naleving van de regelgeving met betrekking tot gegevensbescherming in de praktijk voldoende is gewaarborgd.

5. De nuance
Het gaat er niet zozeer om of een organisatie zich als (gezamenlijke) verwerkingsverantwoordelijke of als verwerker kwalificeert en of er al of niet sprake moet zijn van een verwerkingsovereenkomst.

In de contractuele afspraken tussen partijen, betreffende de verwerking  van persoonsgegevens, moet de gegevensbescherming van betrokkenen voldoende zijn gewaarborgd.

Daar gaat het om!

Artikel 28 lid 3 AVG helpt om deze verantwoordelijkheden voldoende te beleggen in een overeenkomst of andere rechtshandeling!

 

Referenties:

• Europese Commissie, ‘Wat is een verwerkingsverantwoordelijke of een verwerker?’ (https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_nl).
• Artikel 4, leden 7 en 8, artikelen 24, 26, 28, 29 en overwegingen 74, 79, 81 van de AVG
• Advies 01/2010 van de Groep Gegevensbescherming artikel 29 over de begrippen „voor de verwerking verantwoordelijke” en „verwerker” (WP 169).