Verwerkersovereenkomst

Bedrijven en organisaties schakelen vaak derde partijen in, die persoonsgegevens voor hen gaan verwerken. Het klassieke voorbeeld is de salarisadminstratie die door een extern administratiekantoor wordt gevoerd. Of een CRM systeem, dat in de cloud wordt gehost door een software leverancier. De ingehuurde partij wordt in de privacywetgeving 'Verwerker' genoemd, het bedrijf dat inhuurt de 'Verwerkingsverantwoordelijke'.

De Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van kracht wordt, bepaalt dat in die gevallen een schriftelijke overeenkomst moet worden opgesteld, waarin partijen hierover afspraken maken. Deze overeenkomst wordt de 'Verwerkersovereenkomst' genoemd.

Die overeenkomst kan op verschillende manieren, schriftelijk of digitaal, worden afgesloten. Vaak wordt een aparte overeenkomst gesloten, waarin wordt verwezen naar eerder gemaakte afspraken. De Verwerkersovereenkomst kan eventueel in Algemene Voorwaarden worden opgenomen, maar dan is er uiteraard niet veel maatwerk mogelijk.

De AVG schrijft in artikel 28 lid 3 voor wat er allemaal in de Verwerkersovereenkomst moet worden geregeld. De Verwerker moet passende 'technische en organisatorische maatregelen' treffen om de beveiliging van de gegevens te waarborgen. Ook mag de Verwerker uitsluitend handelen op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke. Zo worden nog een aantal onderwerpen genoemd.

Het is belangrijk te beseffen, dat het hebben van een Verwerkersovereenkomst een wettelijke plicht is, die zowel op de Verwerkingsverantwoordelijke als op de Verwerker rust. Beide zijn in overtreding als een Verwerkersovereenkomst ontbreekt.

Ook is het belangrijk om stil te staan bij de financiële kant van het verhaal. De Verwerker moet de instructies van de Verantwoordelijke opvolgen, maar dat zou wel eens een kostbaar verhaal voor de Verwerker kunnen worden. Maak daarom in de Verwerkersovereenkomst afspraken hierover.

Daarnaast kunnen partijen ook worden geconfronteerd met boetes van de toezichthouder als niet wordt voldaan aan de eisen van de AVG. Nu zal niet direct een enorme boete worden opgelegd, maar de toezichthouder heeft die bevoegdheid uiteindelijk wel. Het zou kunnen zijn, dat de Verwerker wordt beboet door de toezichthouder, omdat hij een foute instructie opvolgt van de Verwerkingsverantwoordelijke. Of, andersom, de Verwerkingsverantwoordelijke kan een boete opgelegd krijgen die wordt veroorzaakt door een fout bij de Verwerker. Partijen kunnen onderling afspreken dat die bedragen op elkaar worden verhaald, of dat juist uitsluiten.

De betrokkene, dat is de persoon wiens gegevens worden verwerkt, kan zowel de Verwerkingsverantwoordelijke als de Verwerker aanspreken als hij of zij schade lijdt door een inbreuk op de AVG. Er zijn uitzonderingen voor de Verwerker, maar in principe kunnen betrokkenen beide voor de volledige schade aansprakelijk houden. De AVG bevat een regeling dat Verwerkingsverantwoordelijke en Verwerker de door de een vergoede schade op de ander kan verhalen. De wet is niet helemaal duidelijk of partijen daar in de Verwerkersovereenkomst nog aanvullende afspraken over kunnen maken, maar zolang die mogelijkheid nog niet is uitgesloten is het zinvol ook hieraan in de Verwerkersovereenkomst aandacht te besteden.

 

agree-576x276.jpg
Verwerkersovereenkomst? Een gedeelde verantwoordelijkheid!
Wij helpen u met een Verwerkersovereenkomst op maat.

Meer weten? Bel of mail Erik Jan
088 - 6900800 e.j.spaans@swgadvocaten.nl
EJ-stippels.gif