De verwerkersovereenkomst is eigenlijk geen nieuwe verplichting. Onder de voorganger van de AVG, de Wbp, was een bewerkersovereenkomst al verplicht. Nu er meer aandacht is voor privacy en ook de Autoriteit Persoonsgegevens meer van zich laat horen en groter is geworden, is er ook meer aandacht voor de verwerkersovereenkomst. Maar wie is er verantwoordelijk voor die overeenkomst? Ofwel: wie kan de boete verwachten als er geen verwerkersovereenkomst is?
Alleen verwerkers die zich aan de AVG houden
Een verwerkersverantwoordelijke mag alleen verwerkers inschakelen die aan de AVG voldoen en ‘passende technische en organisatorische maatregelen’ treffen. Wil een verwerker dus geen verwerkersovereenkomst sluiten terwijl dat wel verplicht is, dan voldoen ze niet aan de AVG en kun je eigenlijk de dienst van die verwerker niet meer afnemen. Je zou in zo’n geval kunnen zeggen dat je in feite als verwerkersverantwoordelijke verantwoordelijk bent voor de verwerkersovereenkomst.
AVG wijst niemand aan
Onder de Wet bescherming persoonsgegevens (Wbp) was al een bewerkersovereenkomst nodig in veel gevallen. Dat was een wat meer uitgeklede, eenvoudigere versie van wat nu een verwerkersovereenkomst moet zijn. Onder de Wbp was de verwerkersverantwoordelijke (toen nog verwerker genoemd) verantwoordelijk voor die overeenkomst.
De AVG wijst geen enkele partij specifiek aan. Het is een algemene verplichting om die verwerkersovereenkomst te hebben. Die verplichting rust in die zin op zowel de verwerker als de verwerkersverantwoordelijke. Het is een gezamenlijke verplichting.
Boete voor beide
Zowel als verwerker als verwerkersverantwoordelijke kun je er dus op aangesproken worden dat er geen verwerkersovereenkomst is. Dat betekent dus ook dat je allebei het risico loopt op een boete bij het ontbreken van de overeenkomst.
Geld of risico?
De discussie over wie voor de verwerkersovereenkomst moet zorgen komt voort uit een financiële overweging. Zo’n overeenkomst (laten) opstellen kost immers in elk geval tijd en moeite en meestal ook geld. Als je de verplichting voor het opstellen dan bij de andere partij neer kunt leggen scheelt dat veel tijd en geld. Wie wil dat nou niet?
Nou, jij!
De ander die overeenkomst in elkaar laten knutselen, of misschien nog wel erger, door een jurist op laten stellen, geeft jou bijna de garantie op een eenzijdige overeenkomst. Reken er dan maar op dat jij aan het kortste eind trekt. Kosten omdat de Autoriteit Persoonsgegevens komt controleren? Ga jij voor opdraaien. Gaat er bij de verwerking toch iets mis? Jouw probleem. Tsja, de AVG zegt tenslotte vooral dat het allemaal goed geregeld moet zijn, maar ook heus wel een beetje welke partij wat goed moet verzorgen, maar wie er opdraait voor de schade als het dan toch mis gaat, dat mag je helemaal zelf bepalen. De gemiddelde onderneming of ondernemer grijpt dan de kans om dat risico lekker bij de andere onderneming neer te leggen.
Gezamenlijk verwerkersverantwoordelijke
Zijn partijen gezamenlijk verwerkersverantwoordelijke, bijvoorbeeld omdat niet de een alleen maar voor de ander verwerkt, maar diezelfde persoonsgegevens ook voor zichzelf verwerkt en eigen doel en middelen bepaalt, dan moeten er onderling afspraken gemaakt worden.
Dit gaat niet zo ver als een verwerwerkersovereenkomst.
Er moet wel in komen te staan wat de afspraken zijn om de verplichtingen uit de AVG na te kunnen komen, vooral als het gaat om de rechten van de ‘betrokkenen’ (de personen van wie de persoonsgegevens zijn). Bijvoorbeeld afspraken over hoe de informatie over wat er met de persoonsgegevens gebeurt, zoals dat in de privacyverklaring moet staan, bij die betrokkene terecht gaat komen.
Hulp nodig bij het opstellen of nakijken van een verwerkersovereenkomst of regeling tussen gezamenlijk verwerkersverwantwoordelijken? Wij helpen graag!
Bel ons voor een Oploskoffie
edu
16 oktober 2018 om 12:16 uurSinds intrede van AVG, ben ik maar gestopt met adsense, het leverde toch niets meer op, nul Eurotjes, daarmee ben ik eindelijk van die negatieve frustratie af.
Maar als het bezoekers aantal weer stijgt, kan ik opnieuw overwegen om Adsense er weer bij te zetten.
Echter AVG vind ik te moeilijk, en loop ik liever geen risico, waardoor ik zo dus mogelijke inkomsten misloop, dankzij dat extreme gedoe met veel te hoge boetes als er maar iets fout is!!!!!.
Charlotte
16 oktober 2018 om 15:14 uurBlijft toch lastig als je als bedrijf een verwerkers overeenkomst zend en eveneens een verwerkers overeenkomst ontvangt. Wanneer je als verwerkingsverantwoordelijke dan toch de rol wilt aannemen om eventueel akkoord te gaan met de ontvangen verwerkers overeenkomst, verwacht je samen te kunnen werken met de verwerker. .
Wat te doen als verwerker niet wilt aanpassen of helemaal niet reageert?
De makkelijkste weg is; contract opzeggen. Maar zo makkelijk is dat niet en zeker niet wanneer de verwerker zeer belangrijk is voor de verwerkingsverantwoordelijke.
Heb je op dit vlak enige tips @Charlotte, anders dan blijven proberen/contact te houden.
Want heel zwart wit gezegd, mocht er nu een controle komen, dan hebben wij geen verwerkers overeenkomst omdat de verwerker niet wilt tekenen of wil schikken. De gevolgen zijn bekend.
Charlotte Meindersma
18 oktober 2018 om 08:58 uurTsja, dat geldt andersom precies zo natuurlijk. Ik zou vooral zorgen dat je zelf pragmatischer gaat denken. Leg de overeenkomsten naast elkaar en kijk waar het verschil nog zit, zodat je het over dat verschil kunt hebben en vervolgens kunt bepalen wat er moet komen te staan zodat jullie er beide mee akkoord kunnen zijn. ALs beide partijen op hun strepen blijven staan en niet willen overleggen zal er niets gebeuren natuurlijk.