De verwerkersovereenkomst is eigenlijk geen nieuwe verplichting. Onder de voorganger van de AVG, de Wbp, was een bewerkersovereenkomst al verplicht. Nu er meer aandacht is voor privacy en ook de Autoriteit Persoonsgegevens meer van zich laat horen en groter is geworden, is er ook meer aandacht voor de verwerkersovereenkomst. Maar wie is er verantwoordelijk voor die overeenkomst? Ofwel: wie kan de boete verwachten als er geen verwerkersovereenkomst is?
Alleen verwerkers die zich aan de AVG houden
Een verwerkersverantwoordelijke mag alleen verwerkers inschakelen die aan de AVG voldoen en ‘passende technische en organisatorische maatregelen’ treffen. Wil een verwerker dus geen verwerkersovereenkomst sluiten terwijl dat wel verplicht is, dan voldoen ze niet aan de AVG en kun je eigenlijk de dienst van die verwerker niet meer afnemen. Je zou in zo’n geval kunnen zeggen dat je in feite als verwerkersverantwoordelijke verantwoordelijk bent voor de verwerkersovereenkomst.
AVG wijst niemand aan
Onder de Wet bescherming persoonsgegevens (Wbp) was al een bewerkersovereenkomst nodig in veel gevallen. Dat was een wat meer uitgeklede, eenvoudigere versie van wat nu een verwerkersovereenkomst moet zijn. Onder de Wbp was de verwerkersverantwoordelijke (toen nog verwerker genoemd) verantwoordelijk voor die overeenkomst.
De AVG wijst geen enkele partij specifiek aan. Het is een algemene verplichting om die verwerkersovereenkomst te hebben. Die verplichting rust in die zin op zowel de verwerker als de verwerkersverantwoordelijke. Het is een gezamenlijke verplichting.
Boete voor beide
Zowel als verwerker als verwerkersverantwoordelijke kun je er dus op aangesproken worden dat er geen verwerkersovereenkomst is. Dat betekent dus ook dat je allebei het risico loopt op een boete bij het ontbreken van de overeenkomst.
Geld of risico?
De discussie over wie voor de verwerkersovereenkomst moet zorgen komt voort uit een financiële overweging. Zo’n overeenkomst (laten) opstellen kost immers in elk geval tijd en moeite en meestal ook geld. Als je de verplichting voor het opstellen dan bij de andere partij neer kunt leggen scheelt dat veel tijd en geld. Wie wil dat nou niet?
Nou, jij!
De ander die overeenkomst in elkaar laten knutselen, of misschien nog wel erger, door een jurist op laten stellen, geeft jou bijna de garantie op een eenzijdige overeenkomst. Reken er dan maar op dat jij aan het kortste eind trekt. Kosten omdat de Autoriteit Persoonsgegevens komt controleren? Ga jij voor opdraaien. Gaat er bij de verwerking toch iets mis? Jouw probleem. Tsja, de AVG zegt tenslotte vooral dat het allemaal goed geregeld moet zijn, maar ook heus wel een beetje welke partij wat goed moet verzorgen, maar wie er opdraait voor de schade als het dan toch mis gaat, dat mag je helemaal zelf bepalen. De gemiddelde onderneming of ondernemer grijpt dan de kans om dat risico lekker bij de andere onderneming neer te leggen.
Gezamenlijk verwerkersverantwoordelijke
Zijn partijen gezamenlijk verwerkersverantwoordelijke, bijvoorbeeld omdat niet de een alleen maar voor de ander verwerkt, maar diezelfde persoonsgegevens ook voor zichzelf verwerkt en eigen doel en middelen bepaalt, dan moeten er onderling afspraken gemaakt worden.
Dit gaat niet zo ver als een verwerwerkersovereenkomst.
Er moet wel in komen te staan wat de afspraken zijn om de verplichtingen uit de AVG na te kunnen komen, vooral als het gaat om de rechten van de ‘betrokkenen’ (de personen van wie de persoonsgegevens zijn). Bijvoorbeeld afspraken over hoe de informatie over wat er met de persoonsgegevens gebeurt, zoals dat in de privacyverklaring moet staan, bij die betrokkene terecht gaat komen.
Hulp nodig bij het opstellen of nakijken van een verwerkersovereenkomst of regeling tussen gezamenlijk verwerkersverwantwoordelijken? Wij helpen graag!
Bel ons voor een Oploskoffie