Waarom u nooit een standaard verwerkersovereenkomst moet gebruiken!
De 3 meest gemaakte fouten in huwelijkse voorwaarden!
September 13, 2020
Losgeld betalen aan hackers (ransomware): strafbaar of niet?
October 12, 2020
Samengevat:
- Sinds de inwerkingtreding van de AVG is iedereen die persoonsgegevens verwerkt verplicht een informatie te verstrekken over wat er met de persoonsgegevens gebeurt en waarom.
- Wie de verwerking van de gegevens uitbesteedt aan een derde, is verplicht een verwerkersovereenkomst af te sluiten.
- Let daarom op of de overeenkomst niet onnodig streng is opgesteld in verband met auditverplichtingen, toegang tot data en melding van datalekken.
Hulp van een privacyrecht advocaat!
Wie niet voldoet aan de eisen van de huidige privacywetgeving (AVG), kan door de Autoriteit Persoonsgegevens hoge boetes opgelegd krijgen. Deze kunnen oplopen tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, mocht dat laatste bedrag hoger uitvallen. Nu zowel verwerkingsverantwoordelijke als verwerker kunnen worden aangesproken op het niet naleven van de regelgeving, is een goede verwerkersovereenkomst een must.
Stephan Mulders is gespecialiseerd in het privacyrecht. Hij promoveert momenteel aan de Universiteit Maastricht op dit gebied. Daarnaast staat hij frequent ondernemers en particulieren bij in de rechtszaal. Door deze combinatie van theorie en praktijk is Stephan altijd op de hoogte van de laatste ontwikkelingen op het terrein van privacy en recht.
Als u persoonsgegevens van klanten door een derde (de verwerker) laat verwerken of bewaren, heeft nog steeds zelf verplichtingen uit hoofde van de privacywetgeving. De ondernemer (de verwerkingsverantwoordelijke) immers blijft verantwoordelijk voor de gegevens die hij verwerkt. Wie een andere organisatie inschakelt om gegevens te verwerken, moet daarom een verwerkersovereenkomst afsluiten. Vaak worden daartoe standaard overeenkomsten gebruikt, afkomstig van juristen of de verwerker zelf. Gemak dient de mens. In deze blog legt Mulders Advocaten uit waarom dat toch geen goed idee is.
Wat is een verwerkersovereenkomst?
Veel ondernemers schakelen een extern bedrijf in om de persoonsgegevens die zij verzamelen te verwerken. Dat is bijvoorbeeld al het geval wanneer u de salarisadministratie uitbesteedt of wanneer u gegevens bewaart in een cloud. Een van de verplichtingen die daarbij komt kijken in het kader van de Algemene Verordening Gegevensbescherming (AVG) is dat er in zo’n geval een verwerkersovereenkomst moet worden gesloten. In zo’n overeenkomst wordt vastgelegd hoe de derde (de verwerker) met de gegevens om moet gaan. Op de website van de Autoriteit Persoonsgegevens kunt u meer informatie vinden over wanneer een verwerkersovereenkomst nodig is.
De gevaren van een standaard verwerkersovereenkomst
Standaard verwerkersovereenkomsten zijn vaak onnodig streng opgesteld. In veel verwerkersovereenkomsten zijn bijvoorbeeld auditverplichtingen of beveiligingsverplichtingen opgenomen. Dat kan grote consequenties hebben; aangezien de ondernemer (verantwoordelijke) moet ook controleren of de derde (verwerker) zich daadwerkelijk aan de overeenkomst houdt. Andersom krijgt de verwerker ook te maken met aansprakelijkheid en boetes als hij zich niet aan de verplichtingen in de overeenkomst houdt. Voor de verwerkers wordt het met name lastig als er veel verschillende verwerkersovereenkomsten worden getekend. Bijvoorbeeld een hostingmaatschappij moet met iedere klant een verwerkersovereenkomst aangaan. Dan moet de data voor de ene klant bijvoorbeeld een keer per jaar geaudit worden en voor de andere klant een keer per twee jaar. Dat is onwerkbaar en de kans dat het mis gaat is groot. Beide partijen hebben dus belang erbij om hier kritisch naar te kijken.
Maatwerk
Het is in principe de plicht van de ondernemer (verantwoordelijke) om een verwerkersovereenkomst op te stellen én de nakoming daarvan te controleren. Toch kan het ook voor de verwerker verstandig zijn een standaard verwerkersovereenkomst op te stellen waarin de normale processen beschreven worden. Per opdrachtgever kan dan worden bekeken of dit pakket voldoende is om aan de AVG te voldoen. Is het risico groter, dan zijn volgens de AVG meer zorgvuldige maatregelen nodig. Mocht de opdrachtgever bijvoorbeeld zeer gevoelige data, of zeer grote hoeveelheden data wil laten verwerken, dan kan het nodig zijn om extra maatregelen te nemen. Bijvoorbeeld toch een audit of een speciale verzekering. Dat kan voor de verwerker een mooie manier zijn om extra diensten te verkopen. De opdrachtgever op zijn beurt is er meer gerust op dat hij niet alleen een papieren tijger koopt, maar daadwerkelijk een doordacht databeleid creëert.
Enkele aandachtspunten bij het opstellen van de verwerkersovereenkomst:
- Een auditverplichting opnemen in de overeenkomst betekent dat een extern bureau langs moet komen, hetgeen al snel duizenden euro’s kan kosten.
- Extra beveiligingsverplichtingen, zoals de verplichting tot het gebruik van twee factor authenticatie, kunnen vergaande consequenties hebben voor de verwerker.
- In veel verwerkersovereenkomsten staat dat de verwerker aansprakelijk is voor alles dat misgaat. Dat kan tot aanzienlijke problemen leiden als bijvoorbeeld de verantwoordelijke een grote partij is en de verwerker betrekkelijk klein. Daarom kunnen partijen ook afspreken dat een verzekering wordt afgesloten voor aansprakelijkheid.
- Slechts weinig mensen weten dat ook het tijdelijk niet beschikbaar hebben van data valt onder de definitie van een datalek. Dat betekent dat het uitvallen van een server bij een hostingbedrijf al een datalek is. In de meeste verwerkersovereenkomsten staat dat een datalek binnen 24 uur gemeld moet worden op straffe van een fikse boete. Het is verstandig om een vast meldproces op te nemen. Bijvoorbeeld door het verzenden van een e-mail naar een vast e-mailadres. Dan kan het heel gemakkelijk worden geautomatiseerd.
Advies nodig van een privacyrecht advocaat?
Wilt u een verwerkersovereenkomst laten opstellen? Of uw huidige overeenkomst laten controleren zodat u zeker weet dat u voldoet aan de wettelijke eisen? Neem contact op met Mulders Advocaten.
