Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Vijf tips om minder te hoeven onderhandelen over een verwerkersovereenkomst

Onderhandelen over verwerkersovereenkomsten, wie heeft er tegenwoordig nog nooit met dit bijltje hoeven hakken? Helaas iedereen wel zo’n beetje. Denk je dat je er met de commerciële afspraken bent, moet de verwerkersovereenkomst ook nog. Is het nu echt nodig om zo veel te onderhandelen? Het antwoord is nee. In de Algemene Verordening Gegevensbescherming (AVG) is namelijk precies vastgelegd wat er moet worden afgesproken in een verwerkersovereenkomst, en wat de verantwoordelijkheden van partijen zijn. Echter, loopt het in de praktijk toch vaak niet zo soepel. Dit komt veelal door de keuzevrijheid die de AVG laat, voor de inrichting van de verwerkers-overeenkomst en doordat men vaak (stiekem) meer probeert te regelen dan wettelijk verplicht. Hieronder vijf tips om veel voorkomende onderhandelpunten te voorkomen.

1. Definities

Daar beginnen we al. In een van de eerste artikelen uit de verwerkersovereenkomst worden definities gehanteerd die breder zijn dan, of afwijkend van hetgeen dat in de AVG staat. Dat creëert verwarring en maakt dat er discussie kan ontstaan, want volgen we de wet of wat we afspreken? Hoe voorkom je dit? Simpel: verwijs voor definities zo veel mogelijk naar de relevante artikelen uit de AVG. Dan weten we ook allemaal wat ermee bedoeld wordt. Definieer daarnaast alleen wat niet uit de wet blijkt. Noemen we de commerciële afspraken nu bijvoorbeeld ‘Hoofdovereenkomst’ of ‘Overeenkomst’ en wat gaat er qua verwerkingen nu plaatsvinden?

2. Inschakelen van sub-verwerkers

De verwerkingsverantwoordelijke moet algemene of specifieke toestemming geven aan de verwerker voor het inschakelen van sub-verwerkers. Laten we bij het maken van de keuze hierin met z’n allen wat meer de redelijkheid opzoeken. Het is voor een grote ICT-dienstverlener met bijvoorbeeld 3.000 klanten niet werkbaar om van iedere klant, voordat er een nieuwe leverancier wordt toegevoegd, specifieke toestemming te vragen. Als één klant niet reageert, ligt de hele boel stil. Daarnaast kan ik me ook voorstellen dat je wel met specifieke toestemming wilt werken wanneer je als verwerkingsverantwoordelijke 5.000 medische dossiers hebt die ergens tijdelijk worden gehost.

Dus wat is redelijk als je kijkt naar de dienstverlening die wordt afgenomen en de gegevens die er zullen worden verwerkt? Maak op basis daarvan de keuze tussen algemene/specifieke toestemming, in plaats van wat vanuit jouw rol het meest ideaal lijkt. Dat scheelt een hoop onderhandelen.

3. Beveiligingsmaatregelen

Qua beveiliging mag er wel wat expertise worden verwacht van de verwerkers op ICT-gebied. Dit is immers van deze bedrijven veelal hun expertise. Aan de andere kant moet je ook geen wonderen verwachten. Zelfs de meest ‘passende’ beveiligingsmaatregelen zullen niet altijd doeltreffend zijn. Niet alles in het leven is immers te voorkomen. Baseer hier dus ook de afspraken op, en wees daarnaast duidelijk in wat er van de verwerker verwacht gaat worden. Wil je als verwerker inzage geven in je beveiligingsmaatregelen, geef dan ook echt concrete inzage en benoem niet enkel vage maatregelen. Daar schiet niemand iets mee op. En wanneer beide partijen het prima vinden dit onderwerp geheel aan de expertise van de verwerker over te laten, spreek dan gewoon af dat de verwerker ‘passende technische en organisatorische maatregelen’ zal nemen.

4. Audit

Als verwerkingsverantwoordelijke mag je onder de AVG controleren of de verwerker zijn afspraken uit de verwerkersovereenkomst nakomt door een audit uit te (laten) voeren. Dit is natuurlijk een goed iets, alleen kan een onbeperkt auditrecht voor een verwerker nogal verlammend werken. Als alle klanten om de beurt op de stoep staan om de boel eens goed onder de loep te nemen, wordt de dagelijkse bedrijfsvoering van de verwerker namelijk nogal verstoord. En hier hebben ook andere klanten weer last van. Daarentegen, als je als verwerkingsverantwoordelijke het idee hebt dat je verwerker zich niet aan de afspraken houdt, wil je wel kunnen controleren en ingrijpen. Hoe zoek je hier nu meer de redelijkheid in op?

  • Beperk het auditrecht tot op redelijke hoogte. (Heb je een concreet vermoeden? Dan kan het natuurlijk);
  • Verstrek als verwerker eigen auditrapportages, wanneer je die hebt, om meer openheid te verschaffen;
  • Spreek een redelijke termijn af waarin de audit zal worden aangekondigd;
  • Laat een onafhankelijke partij de audit uitvoeren voor een onafhankelijk resultaat; en:
  • Zorg voor een eerlijke verdeling van de kosten. (Verwerker fout? Verwerker betaalt. Verwerker goed? Verwerkingsverantwoordelijke betaalt.)

5. Aansprakelijkheid

Het is niet verplicht om in een verwerkersovereenkomst afspraken te maken over aansprakelijkheid. Er wordt immers ook al een hoop geregeld hierover in de AVG. Toch vliegen de vrijwaringen, boeteclausules en onbeperkte aansprakelijkheden je vaak om de oren. Op zich prettig natuurlijk om alles juridisch goed af te dichten en in te perken.

Echter, het risico bestaat dat je het in onderhandelingen uiteindelijk alleen nog maar hebt over wie de boetes van de toezichthouder moet gaan betalen in plaats van over hetgeen waar de verwerkersovereenkomst echt voor bedoeld is, namelijk het regelen van een zorgvuldige omgang met persoonsgegevens. Mocht je dat nou niet meer willen, zijn er een aantal opties die discussie vaak verminderen: 1) sluit aan qua aansprakelijkheid bij de afspraken uit de hoofdovereenkomst, daar zijn immers ook ooit de prijsafspraken op gebaseerd; of 2) sluit aan bij de wet, en neem er helemaal niks over op.

Andere tips of ideeën om onderhandelingen over verwerkersovereenkomsten te verminderen zijn meer dan welkom!

Michelle Wijnant

Juridisch adviseur

Michelle Wijnant werkt als juridisch adviseur bij ICTRecht. Binnen ICTRecht houdt Michelle zich voornamelijk bezig met alle juridische aspecten rondom privacy.

Michelle adviseert zowel profit als non-profit organisaties over het werken in lijn met de privacy- en telecommunicatiewetgeving, en de daarbij behorende juridische vraagstukken.


Er zijn 7 reacties

  1. Goedemorgen,

    Naar aanleiding van mijn onderzoek ben ik opzoek naar deskundige die mijn vragen kunnen beantwoorden op het gebied van GDPR-AVG. Zou u mijn vragen kunnen beantwoorden?

  2. de laatste uitspraak over de aansprakelijkheidsbeperking ‘2) sluit aan bij de wet, en neem er helemaal niks over op.” is natuurlijk niet echt haalbaar. Dit betekent immers een onbeperkte aansprakelijkheid en dat willen verwerkers immers voorkomen. Oftewel: door niets op te nemen, snij je jezelf in de vingers.

    1. Beste Macey,

      Bedankt voor de reactie. Het is altijd goed om je aansprakelijkheid te beperken, echter blijkt in de praktijk dat de grootste discussie bij het sluiten van een verwerkersovereenkomst alleen nog maar gaat over de aansprakelijkheidsverdeling. En dat is natuurlijk nooit de bedoeling geweest. Uit de AVG vloeien voor een verwerker de volgende aansprakelijkheden voort:
      – De toezichthouder kan aan zowel de verantwoordelijke als de verwerker een boete opleggen (art. 83 AVG);
      – De verwerker is richting de verantwoordelijke volledig aansprakelijk voor zijn subverwerkers (art. 28 (4) AVG);
      – De verantwoordelijke kan schade van betrokkenen op de verwerker verhalen, wanneer de schade is veroorzaakt doordat de verwerker niet aan zijn verplichtingen op basis van de AVG heeft voldaan of wanneer deze in strijd heeft gehandeld met de instructies van de verantwoordelijke (art. 82 (5) AVG).

      Met uitzondering van de laatste aansprakelijkheid (zie voor meer informatie hierover de blog van mijn collega Fay Kartner), staat van de overige aansprakelijkheden vast dat deze niet zijn in te perken. Uit de AVG vloeit niet voort dat en wanneer men boetes op elkaar kan verhalen, dus daarvoor zal gewoon worden aangesloten bij de normale wettelijke aansprakelijkheidsregeling/afspraken uit de commerciële afspraken. Om in geen enkele afspraak tussen partijen iets vast te leggen over aansprakelijkheid is geen goed idee. Het is het echter niet waard om de onderhandelingen over specifiek een verwerkersovereenkomst te laten stuklopen op de aansprakelijkheidsverdeling. Kom je daar niet uit, sluit dan aan bij de hoofdovereenkomst of de AVG. Mocht je willen aansluiten bij de hoofdovereenkomst, check dan altijd nog even wat daarin exact staat qua aansprakelijkheidsbeperking. Mocht je willen aansluiten bij de AVG, dan kun je dat ook gewoon doen door niks over aansprakelijkheid in de verwerkersovereenkomst op te nemen.

  3. En wat nu als een verantwoordelijke wil opnemen dat de boete van de AP wordt door gelegd aan de verwerker? dit met behulp van een vrijwaring. dit zien wij namelijk veel terug en daar willen wij (als verwerker) uiteraard niet mee akkoord gaan.

  4. Hi Michelle,

    Wat volgens mij ook een zinnige “tip” is: denk eerst eens goed na of er überhaupt wel sprake is van een set van afspraken tussen een verantwoordelijke en verwerker!

    Er wordt door 99% van de (mensen bij) organisaties vanuit gegaan dat als je persoonsgegevens aan een andere partij geeft deze andere partij een verwerker is. Dat is echter niet zo. Volgens de AVG is een partij pas een verwerker als het haar kerntaak is om persoonsgegevens van een ander te verwerken. Dat is waarom een pensioenfonds, een arbodienst, een verzekeraar, een leasemaatschappij, etc. wel persoonsgegevens ontvangen (van een werkgever, over diens werknemers) maar geen verwerker zijn!

    Dat besef, dat even stil staan bij de basis, zorgt ervoor dat allerlei “templates verwerkersovereenkomsten” opzij geschoven kunnen worden, en je met bij wijze van spreken een leeg A4-tje gewoon eens goed nadenkt over wat je nou wilt regelen. Vaak is dat:

    – je krijgt van mij persoonsgegevens maar die mag je niet gebruiken voor andere doelen dan waar we een contract voor hebben
    – ik zou graag zien dat je er veilig mee omgaat maar dat is je eigen verantwoordelijkheid
    – wees er op voorbereid dat betrokkenen je rechtstreeks kunnen benaderen want je bent geen verwerker maar verantwoordelijke
    – als er een datalek is, moet je zelf melden bij AP en/of betrokkenen, maar geef wel ff een seintje want dat is wel prettig

    En daarmee kun je vaak een overeenkomstje beperken tot 2 A4-tjes gezond boerenverstand over juist DE dingen die je belangrijk vindt.

    Met vriendelijke groet,

    Marc

    1. Beste Marc,

      Dank voor je reactie en tips! Een verwerkersovereenkomst hoeft inderdaad alleen te worden gesloten wanneer er sprake is van een verwerker die in opdracht van een verantwoordelijke persoonsgegevens gaat verwerken. Zie voor meer informatie over wanneer een verwerkersovereenkomst moet worden gesloten, ook de blogpost van onze partner Arnoud Engelfriet. Met betrekking tot de inhoud van een verwerkersovereenkomst hoeven het inderdaad geen ellenlange documenten te zijn (liever niet zelfs!). Wel is het van belang om altijd even na te gaan of alle verplichte onderwerpen (op basis van artikel 28 van de AVG) erin terugkomen. Denk hierbij aan bijvoorbeeld afspraken over het inschakelen van subverwerkers, het auditrecht van de verantwoordelijke, de meldplicht voor datalekken van de verwerker aan de verantwoordelijke en wat er met de gegevens moet worden gedaan als de overeenkomst is afgelopen.

      Mochten er nog meer mensen tips hebben om te delen, horen we het natuurlijk graag!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie