Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Kun je in een verwerkersovereenkomst afspraken maken over je aansprakelijkheid?

20 september 2018 Door

Stel, een ziekenhuis neemt software af waarin persoonsgegevens van haar patiënten opgeslagen worden. De beveiliging hiervan laat echter te wensen over, waardoor medische gegevens openbaar toegankelijk zijn geweest. Wie is dan aansprakelijk voor schade die betrokkenen hebben geleden, en voor welk bedrag? Veel organisaties zitten momenteel met dergelijke vragen. Op basis van de Algemene Verordening Gegevensbescherming (AVG) (en dan specifiek artikel 82) kunnen betrokkenen namelijk schadevergoeding eisen van zowel de verwerkingsverantwoordelijke als de verwerker. Maar, hoe wordt in zo’n geval de schade verdeeld? En, kun je hier onderling afspraken over maken in je verwerkersovereenkomst?

Wanneer heeft een betrokkene recht op schadevergoeding?

Omdat één van de doelen van de AVG is om de personen over wie de gegevens gaan (de betrokkenen) beter te beschermen, kunnen zij op basis van de AVG schadevergoeding eisen van iedere partij die inbreuk heeft gemaakt op de AVG waardoor zij schade hebben geleden. Het niet nakomen van de AVG levert namelijk een onrechtmatige daad op richting de betrokkene.

Voor het innen van deze schadevergoeding, kan de betrokkene zowel een gerechtelijke procedure starten tegen de verwerker als de verwerkingsverantwoordelijke. Beide partijen zijn in deze namelijk hoofdelijk aansprakelijk richting de betrokkene voor de geleden schade. Onderling kunnen partijen deze schadevergoeding echter op elkaar verhalen. Dit als het gaat om een plicht die die is geschonden en die op de andere partij rustte op basis van de AVG.

Voor welke schade van betrokkenen is de verwerkingsverantwoordelijke aansprakelijk?

De verwerkingsverantwoordelijke is in beginsel voor alle schade aansprakelijk, ongeacht of dit is veroorzaakt door de verwerker of hemzelf. Hij dient immers enkel samen te werken met partijen die ‘afdoende garanties’ bieden. Niet aansprakelijk is de verwerkingsverantwoordelijke echter wanneer de schade is ontstaan door overmacht (in de zin van art. 6:75 BW), of als de schade voortvloeit uit een handeling die volledig aan de verwerker is te wijten. Dus als bijvoorbeeld de verwerker besluit de gegevens ook voor zijn eigen doeleinden te gaan verwerken zonder dat hij hier een grondslag voor heeft. Om een geslaagd beroep op overmacht te kunnen doen, moet de verwerkingsverantwoordelijke dan wel kunnen aantonen dat de schadeveroorzakende gebeurtenis hem echt niet kan worden aangewreven.

Voor welke schade van betrokkenen is de verwerker aansprakelijk?

Verwerkers zijn (op grond van artikel 82 lid 2 AVG) alleen aansprakelijk voor schending van specifiek tot hen gerichte verplichtingen. De verwerker kan bijvoorbeeld aansprakelijk zijn wanneer zij:

  •  persoonsgegevens niet goed beveiligt (dit is een plicht van beide partijen, de verdeling van de schade hangt ervan af aan wie de slechte beveiliging te wijten is);
  • een instructie van de verwerkingsverantwoordelijke niet uitvoert zoals het wissen van gegevens; of
  • zonder grondslag voor eigen doeleinden de gegevens gebruikt om bijvoorbeeld reclame te sturen.

Voor verplichtingen waar de verwerker nooit aansprakelijk voor zal zijn, kun je denken aan het verwerken van gegevens zonder grondslag (zoals toestemming), het niet voldoen aan de informatieplicht (bijvoorbeeld doordat er geen privacyverklaring op de website is geplaatst) of het niet ingaan op een verzoek van een betrokkene (zoals om inzage of verwijdering). Dit zijn immers enkel verantwoordelijkheden van de verwerkingsverantwoordelijke, en hier kan de verwerker dan ook niet richting de verantwoordelijke voor aansprakelijk worden gehouden.

Kunnen partijen onderling afspraken maken over de verdeling van aansprakelijkheid?

Als de ene partij de schade vergoed heeft, kan deze het deel van de schade dat aan de andere partij te wijten is, bij die partij verhalen (artikel 82 lid 5). Dit als het gaat om een plicht die voor deze specifieke partij geldt (zie hierboven). Verantwoordelijke en verwerker kunnen echter onderling een beperking van aansprakelijkheid afspreken. Nergens blijkt immers uit dat deze bepaling van dwingend recht is. In een verwerkersovereenkomst kan hiertoe een aansprakelijkheidsbeperking worden opgenomen die geldt in geval van schending van privacywetgeving of de verwerkersovereenkomst, ten aanzien van schadevergoeding naar de andere partij toe. Let op: je aansprakelijkheid naar betrokkenen toe, kun je niet op deze manier inperken.

Tot slot is het niet mogelijk om álle aansprakelijkheid contractueel uit te sluiten. In het geval van opzet of bewuste roekeloosheid, ben je altijd aansprakelijk voor de daardoor ontstane schade.

 

Fay Kartner

Juridisch adviseur

Fay Kartner is werkzaam bij ICTRecht als juridisch adviseur en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht maakt zij onderdeel uit van het privacyteam. Fay ondersteunt organisaties bij het voldoen aan de Algemene Verordening Gegevensbescherming (AVG).


Er zijn 2 reacties

  1. Mijn vraag: Als verwerker je sluit een verwerkersovereenkomst. Verwerkingsverantwoordelijke doet verzoek om nieuwe account of nieuwe werknemer op een product.

    Wanneer deze medewerker na paar maanden uitdienst gaat. Hoelang mag je persoonsgegevens van deze gebruiker bewaren binnen het kader van verwerkersovereenkomst als verwerker?
    Deze persoonsgegevens maken deel uit back-up van de verwerkingsverantwoordelijke.
    Op het internet staat 6 maanden max internet, email accounts etc.

    of mag je langer omdat verwerkingsverantwoordelijke toestemming ervoor heeft gevraagd?

    1. Een verwerker stelt zelf geen termijnen vast, maar volgt de instructies van de verwerkingsverantwoordelijke op wat betreft bewaartermijnen. De verwerkingsverantwoordelijke moet rekening houden met wettelijke bewaartermijnen, en moet voor de rest zelf redelijke bewaartermijnen vaststellen. Zijn er bewaartermijnen die de verwerkingsverantwoordelijke voorschrijft opgenomen in de verwerkersovereenkomst, volg deze dan. Als er geen bewaartermijnen opgenomen zijn moet u in principe de gegevens bewaren totdat u andere (schriftelijke) instructies krijgt, of wanneer de dienstverleningsovereenkomst met de verwerkingsverantwoordelijke eindigt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie