Altijd een verwerkersovereenkomst. Toch?

image description

Altijd een verwerkersovereenkomst. Toch?

Een blog van Sjoerd van de Meerendonk directeur consultancy bij Bouw en Van de Meerendonk

Een belangrijk onderdeel van de AVG zijn de afspraken tussen verschillende partijen over het omgaan met persoonsgegevens. Bijvoorbeeld wanneer u data in de cloud opslaat, de accountant die uw salarisadministratie doet of een advocaat die een ontslagzaak voor u behartigt.

Vaak wordt gedacht dat in al die situaties een verwerkersovereenkomst nodig is. Dat is niet altijd het geval en afhankelijk van het feit of u een verwerker bent of verwerkingsverantwoordelijke. Een belangrijk verschil dat wij toelichten en helpen om dat voor uw situatie te bepalen.

Verwerker of verwerkingsverantwoordelijke – wie is wat?
Wanneer wij het over het ‘verwerken van gegevens’ hebben, moet u denken aan zaken als het inzien, opslaan, beheren, analyseren en verrijken van persoonsgegevens. Met de nadruk op persoonsgegevens. Data van bijvoorbeeld machines of auto’s voor gebruiksanalyse of onderhoudsvoorspelling vallen niet onder de AVG.

Wanneer bent u een verwerker of een verwerkingsverantwoordelijke? Want dat is nogal een groot verschil. De Autoriteit Persoonsgegevens heeft voor beide een definitie bepaald.

Een verwerker is een (rechts)persoon die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat hij (de verwerker) aan diens rechtstreekse gezag onderworpen is.

Een verwerkingsverantwoordelijke is een (rechts)persoon die zelfstandig het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.

Dat is op pagina 12 van de AVG handleiding in een mooi stroomschema verwerkt.

Doel en middelen, wel of geen gezag? Het is best ingewikkeld om te bepalen wat u wel of niet bent. En daarmee wat uw verplichtingen zijn.

Een andere definitie
Wij hebben voor onze klanten nagedacht over een meer toegankelijke definitie. Waar het in de basis om gaat is of de partij die de persoonsgegevens ‘ontvangt’ deze inhoudelijk ‘verrijkt’. Wat bedoelen wij daarmee?

Een verwerker ‘verrijkt’ geen data. Hij krijgt het en geeft het in dezelfde vorm terug. Een verwerkersverantwoordelijke doet er inhoudelijk wel wat mee. Hij krijgt persoonsgegevens van u, doet daar inhoudelijk wat mee vanuit zijn unieke expertise en geeft die gegevens in een andere, verrijkte vorm terug. Een paar voorbeelden maken dat helder.

Een partij die uw data in een van zijn datacenters opslaat moet zorgen dat het veilig gebeurt en dat u daar altijd bij kan. Maar inhoudelijk doet hij niks met de data. Gegevens A+B opslaan is ook gegevens A+B terugkrijgen. In dit geval is uw datacenter een verwerker.

Een advocaat daarentegen krijgt bijvoorbeeld van u een dossier met persoonsgegevens in verband met een ontslagsituatie. Zijn taak is om met een brief, verweer, pleidooi of andere informatie te komen op basis van die informatie. Hij verrijkt de data en doet dat naar eigen inzicht en initiatief (eigen doel en middelen). Gegevens A+B aanleveren. Gegevens C+D terugkrijgen. De advocaat is in dit geval een verwerkersverantwoordelijke.

Het grijze gebied
Waar het complex wordt is bijvoorbeeld in de situatie van softwareleveranciers. Bent u als softwareleverancier nu wel of geen verwerker? Ook daar maken wij het simpel door de vraag te stellen of u de gegevens verrijkt (‘slimme dingen’ doet) met de gegevens. Twee voorbeelden. Uw software maakt het mogelijk om klanten of patiënten hun gegevens te laten inzien. U slaat het dus op en geeft toegang tot de data. Verder niks. A+B in = A+B uit.

In het geval dat uw software in die situatie ook analyses en verrijkingen uitvoert is het anders. Bijvoorbeeld door verbanden te leggen, trends te zoeken en bijvoorbeeld een advies te geven. In dat geval doet u dus naar eigen inzicht en met eigen middelen iets met de data. A+B in = C+D uit. U bent dan een verwerkersverantwoordelijke.

Ik weet wat mijn rol is. Wat nu?
Als u een verwerker bent of er een inschakelt dan moeten de betrokken partijen een verwerkersovereenkomst opstellen. Daarin staan verschillende zaken over de aard van de opdracht, het doel, de duur, het soort persoonsgegevens, de technische en organisatorische maatregelen die genomen worden, etc.

Wanneer u een verwerkersverantwoordelijke bent of als opdrachtgever daarmee samenwerkt is het anders. Er is dan geen verwerkersovereenkomst nodig. Een reguliere overeenkomst van opdracht volstaat. Voor opdrachtgever is dat eenvoudiger. Maar voor de verwerkersverantwoordelijke allesbehalve. Die dient namelijk zelf adequate technische en organisatorische maatregelen te nemen ter bescherming van persoonsgegeven en dit via zijn privacyverklaring te communiceren. Deze maatregelen worden vaak gebaseerd op de specifieke maatregelen zoals die in ISO 27001 en/of NEN 7510 normen voor informatiebeveiliging zijn opgenomen. Bovendien is hij als verwerkingsverantwoordelijke ook verplicht eventuele datalekken tijdig bij de Autoriteit Persoonsgegevens te melden. Dat heeft dus heel wat meer voeten in de aarde.

Informatieveiligheid en privacy op orde
U kunt nu bepalen of u of uw opdrachtnemer een verwerker of een verwerkingsverantwoordelijke bent. In het geval van een verwerker kunt u op onze website een standaard verwerkersovereenkomst downloaden. Voor de verwerkersverantwoordelijken hebben wij op de website ook meer informatie staan over hoe u voldoet aan de strengere AVG eisen en de maatregelen uit de ISO 27001 of de NEN 7510 normen.

In een volgende blog gaan wij in op het onderwerp hoe een organisatie de veiligheid van de informatie goed, duurzaam en aantoonbaar kan organiseren.

Over de auteur
Sjoerd van de Meerendonk is directeur consultancy bij Bouw en Van de Meerendonk (BMGrip). Hij is al meer dan 25 jaar werkzaam in het werkveld en begeleidt organisaties bij complexe vraagstukken rond het implementeren en onderhouden van normkaders voor informatieveiligheid, privacy, kwaliteit en milieu.

image description

Meer weten hoe wij u kunnen helpen? Neem dan contact met me op.