De afgelopen weken is het binnen privacyland weer een hot topic: de verwerkersovereenkomst. Er werden hier en daar modellen ontwikkeld, er werd een AP-onderzoek over verwerkersovereenkomsten gedaan binnen de private sector, de European Data Protection Board publiceerde een voorlopige zienswijze en de Europese Commissie publiceerde een art.28-model. Maar steeds vaker zien wij dat er juridische onjuistheden in verwerkersovereenkomsten ontstaan, waardoor organisaties grote risico’s lopen. In deze blogserie beschrijf ik twintig veelgemaakte fouten in de verwerkersovereenkomst. Zodat je ze voortaan herkent én voorkomt. Dit is deel 2, deel 1 lees je hier.
11. De verwerker werkt alleen tegen betaling mee aan een AVG-rechtsverzoek
Iets anders wat we regelmatig tegenkomen. Verwerkers willen graag meewerken aan een AVG-rechtsverzoek, maar alleen als de verwerkingsantwoordelijke ervoor betaalt. Dit kun je absoluut niet in een verwerkingsovereenkomst opnemen. Een verwerker moet altijd meewerken aan een rechtsverzoek, voor zover dat in alle redelijkheid mogelijk is (of van hem kan worden verwacht).
12. Er wordt na afloop van de verwerkingsdiensten niet goed omgegaan met persoonsgegevens
‘Na afloop van de verwerkingsdiensten moeten alle persoonsgegevens worden gewist of terugbezorgd en/of alle bestaande kopieën moeten worden verwijderd, tenzij …’. Bij die ‘tenzij’ gaat het fout. En dat hangt vaak samen met het vierde (juridisch kader) en/of vijfde (informatiebeveiligingsnormen) punt van deze blog.
13. Er is geen continueringsafspraak in de verwerkersovereenkomst opgenomen
We zien veel te vaak dat er geen continueringsafspraak in de verwerkersovereenkomst wordt opgenomen. Herstel dit als dit voor jou geldt, want het is erg belangrijk. Bedenk je eens wat er gebeurt als je failliet wordt verklaard, fuseert, wordt overgenomen of in een splitsing terecht komt. De curator zou bij faillissement er zomaar met jouw data vandoor kunnen gaan.
14. De verwerker wil voor zijn verantwoordelijkheden worden betaald
Kosten die in de bepalingen van een verwerkersovereenkomst worden genoemd, zijn meestal kosten die tot het ondernemersrisico van een verwerker behoren. Hierbij verwijs ik graag naar een klassieker: de verwerker die de kosten van een audit wil laten vergoeden. Dat is niet mogelijk. Een audit behoort tot de verantwoordelijkheid van een verwerker. De verwerker moet immers bepaalde garanties bieden1. Een verwerker die deze garanties niet kan bieden, is een verkeerde verwerker.
15. De hoofdovereenkomst zegt niks over Artikel 82 van de AVG
Juristen regelen de aansprakelijkheid meestal via het Burgerlijk Wetboek. En dan ook nog eens in de hoofdovereenkomst, want dat is wel zo praktisch. Maar wist je dat die afspraak in beginsel de aansprakelijkheid tussen verwerker en verantwoordelijke regelt? En wist je dat de AVG ook een aansprakelijkheidsartikel heeft? Artikel 82 AVG regelt de aansprakelijkheid tussen verwerker en/of verwerkingsverantwoordelijke én de betrokkene(n). Wij zien vaak dat de hoofdovereenkomst hier niets over zegt.
16. Er is een schadebeperkingsclausule of vrijwaringsclausule opgenomen
We zien regelmatig dat er een aansprakelijkheidsclausule wordt opgenomen om schade te limiteren. Dit wordt ook wel een schadebeperkingsclausule of vrijwaringsclausule genoemd. Maar vrijwaring tegenover een betrokkene(n) is niet mogelijk, want artikel 82 AVG is een dwingend recht. Dat artikel beschrijft dat de werking van de vrijwaring pas achteraf kan plaatsvinden2.
17. Er zijn geen juiste Service Level Afspraken (SLA) gemaakt
Stel je deze situatie eens voor:
De verwerker limiteert het schadevergoedingsbedrag per toebrengend feit tot €30.000,-. In het gebruikte zaaksysteem komen meer dan 50.000 personen voor. Uit de jurisprudentie3 volgt dat de hoogte van een schadevergoedingsbedrag €500,- bedraagt. Dus 50.000 x €500 = 25 miljoen euro. Bij het zwaarste datalek ben je dus voor €24.970.000,- onderverzekerd. Maar hoe groot is die kans?
In dit specifieke toetsingsgeval lijken de juiste Service Level Afspraken er niet te zijn. En lijkt er geen risicoafweging te zijn gemaakt.
18. Verwerkersovereenkomst met een accountant, Arboarts of softwareleverancier
‘Laten wij een verwerkersovereenkomst met een accountant, Arboarts of een softwareleverancier (geen SAAS) afsluiten.’ Nou, volg dan maar een klasje Privacyrecht bij Jeroen Terstegge. Zulke overeenkomsten horen geen verwerkersovereenkomst te heten. Deze partijen zijn in beginsel4 verwerkingsverantwoordelijken. Tussen twee of meerdere verwerkingsverantwoordelijken gelden geen verwerkersovereenkomsten, maar afspraken die de samenwerking tussen beide partijen benadrukken.
19. De doorgifteclausule mist
Wij missen opvallend vaak de doorgifteclausule in verwerkersovereenkomsten. Of beter gezegd: de beperking van de doorgifte van persoonsgegevens5. Gelet op de Schrems II-discussie kan die bepaling wel eens belangrijk zijn. Check dat zeker nog eens.
20. Taalfouten
‘De door Verwerker in opdracht Verantwoordelijke verzamelt de persoonsgegevens blijven na de terbeschikkingstelling aan de verantwoordelijke standaard 90 dagen bewaard (…) vernietigd’’. Sinds wanneer kan de verwerkingsverantwoordelijke naar een tbs-kliniek worden gestuurd?????
Met deze twintig opmerkingen in het achterhoofd: wat vindt u daadwerkelijk van het artikel 28-model van de Europese Commissie?
1 Artikel 28 lid 3 onder c jo. 32 lid 1 onder b en d AVG.
2 Artikel 82 lid 4 en lid 5 AVG.
3 Zie Juridische doorbraak: rechter geeft schadevergoeding op grond privacywet AVG | RTL Nieuws
4 Uitzondering is de accountant die ook de salarisadministratie beheert. Voor dit stuk geldt de accountant als verwerker
5 Hiermee bedoelen wij ook een verbodsbepaling
