15 jaar
Volg ons op sociale media

Blog- Deel 4: Misverstanden over de verwerkersovereenkomst

Geplaatst op 15 november 2019 om 09:30

Bekijk de video van onze jurist Ruud over de misverstanden over de verwerkersovereenkomst>> 

Ondanks dat 25 mei 2018 al even achter ons ligt, merk ik in de praktijk dat er nog zeker een aantal misverstanden zijn met betrekking tot de verwerkersovereenkomst. Graag behandel ik de meest voorkomende vragen en misverstanden.

Het is de verwerkingsverantwoordelijke die moet zorgen voor de verwerkersovereenkomst.
Eerst was er de Wet bescherming persoonsgegevens (Wbp). Op basis van deze wet was het verplicht om een bewerkersovereenkomst te sluiten wanneer er persoonsgegevens werden verwerkt. Deze verplichting gold voor de bewerkingsverantwoordelijke. De Wbp is vervangen door de Algemene Verordening Persoonsgegevens (AVG) die per 25 mei 2018 in werking is getreden. Op basis van deze Verordening geldt de verplichting tot het sluiten van een verwerkersovereenkomst voor zowel de verwerkingsverantwoordelijke als de verwerker. Bij het ontbreken van een dergelijke overeenkomst kunnen beiden ook beboet worden.

Ik doe niets actiefs met de persoonsgegevens. De verwerkersovereenkomst is daarom niet nodig.
Een misverstand is dat bij het woord ‘verwerken’ aan iets actiefs moet worden gedacht. Verwerken is in tegenstelling tot wat de naam doet vermoeden, niet alleen het wijzigen, bijwerken of gebruiken van persoonsgegevens, maar bijvoorbeeld ook het opvragen en raadplegen hiervan. Dus ook wanneer men toegang heeft tot persoonsgegevens maar er niets actiefs mee doet, dient de verwerkersovereenkomst te worden gesloten.

Ik heb altijd toestemming van de betrokkene nodig om persoonsgegevens te verwerken.
Nee. Er zijn in totaal zes grondslagen op basis waarvan persoonsgegevens mogen worden verwerkt. Toestemming is daar slechts één van. In de andere vijf gevallen is er dus geen toestemming vereist. Dit zijn de volgende gevallen:

  1. Wanneer u een overeenkomst met de betrokkene aangaat (denk bijvoorbeeld aan het uitvoeren van een arbeidsovereenkomst, waarbij persoonsgegevens moeten worden verwerkt om salaris uit te kunnen keren);
  2. De persoonsgegevens worden verwerkt om aan de wettelijke verplichtingen te kunnen voldoen (op bevel van de politie verstrekt u bepaalde persoonsgegevens van de werknemer).
  3. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belangen te behartigen (u installeert bijvoorbeeld camera’s rondom uw bedrijf om uw eigendom te beschermen tegen diefstal. Het gerechtvaardigde belang hier is het tegengaan van diefstal. Dit cameratoezicht kan inbreuk maken op de privacy van de betrokkene. Daarom dient het beschermen van de eigendommen zwaarder te wegen dan de inbreuk op de privacy van de betrokkene).
  4. Het is noodzakelijke om gegevens te verwerken om vitale belangen te beschermen. Iemand wordt met spoed naar het ziekenhuis gebracht met een hartinfarct. Deze persoon is daarom niet in staat om toestemming te geven voor de verwerking van de persoonsgegevens. In dat kader is deze grondslag er.
  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen. Om op deze grondslag een beroep te kunnen doen dient er sprake te zijn van het uitoefenen van een taak die in de wet is vastgelegd en die relevant is voor uw organisatie.

Ik ben maar een kleine ondernemer. De AVG is niet op mij van toepassing
Wanneer u persoonsgegevens verwerkt, moet ook u voldoen aan de AVG. Daar doet de grootte van uw bedrijf niet aan af.

Ik hoef geen verwerkersovereenkomst te sluiten, want ik verwerk geen persoonsgegevens, maar alleen bedrijfsgegevens.
Dit klopt niet. Vanaf 25 mei 2018 vallen ook bedrijfsgegevens, zoals zakelijke e-mailadressen en telefoonnummers, onder persoonsgegevens en daarmee dus ook onder de AVG. De (Europese) wetgever heeft namelijk besloten het begrip ‘persoonsgegevens’ breed uit te leggen. Er is niet alleen sprake van een persoonsgegeven wanneer een natuurlijk persoon al geïdentificeerd is, maar ook wanneer er een mogelijkheid bestaat dat deze geïdentificeerd kan worden. 

Moet ik al mijn beveiligingsmaatregelen benoemen?
De AVG benoemt geen specifieke beveiligingsmaatregelen. De AVG kan daar ook weinig concreet over zijn, omdat de techniek zich continu verandert en verder ontwikkelt. Zou de AVG wel specifieke beveiligingsmaatregelen opnemen dan zouden deze binnen korte tijd achterhaald zijn. Daarom is bepaald dat de beveiligingsmaatregelen passend technisch en organisatorisch beveiligd dienen te zijn. 

Om discussie te voorkomen over wat nu precies passende beveiligingsmaatregelen zijn, kan het handig zijn om de maatregelen specifiek te benoemen en op te nemen als bijlage in de verwerkersovereenkomst. Wegens de steeds veranderende techniek, moet u opnemen dat partijen periodiek overleg hebben of de beveiliging nog voldoet en of dit eventueel aangepast moet worden. Overleg ook voor wiens rekening de kosten van eventuele aanpassingen komen. Het is overigens niet nodig om te garanderen dat de beveiliging onder alle omstandigheden volledig waterdicht is. 

De verwerkingsverantwoordelijke wenst allerlei hoge boetes in de verwerkersovereenkomst op te nemen. Ben ik verplicht hiermee akkoord te gaan?
Veel bedrijven vinden het heel belangrijk om uitgebreide artikelen in de verwerkersovereenkomst op te nemen omtrent aansprakelijkheid en zetten daar vervolgens zeer hoge boetes op. Denk goed na of u als bedrijf hiermee akkoord wenst te gaan. Het opnemen van een aansprakelijkheidsartikel is namelijk niet wettelijk verplicht. In de AVG is al een hoop geregeld omtrent de aansprakelijkheidsverdeling (zie bijvoorbeeld artikel 82 AVG). Nu onder de AVG de betrokkene zowel de verwerkingsverantwoordelijke als de verwerker aan kan spreken, kan het wel gewenst zijn om onderling afspraken over verhaal te maken. Houd daarbij wel rekening met de onderliggende hoofdovereenkomst en eventuele toepasselijke algemene voorwaarden. 

Ik heb heel veel klanten. Moet ik met al deze klanten een verwerkersovereenkomst sluiten?

Ja, wanneer u persoonsgegevens verwerkt, bent u verplicht een verwerkersovereenkomst te sluiten. Ook wanneer u een zeer groot klantenbestand van wel duizenden klanten heeft, dient u aan de AVG te voldoen. Uiteraard kan het lastig en vooral tijdrovend zijn om met al deze klanten in onderhandeling te treden. Als ondernemer wilt u uw kostbare tijd steken in het voeren van uw bedrijf. Wij hebben een gouden tip om hier mee om te gaan. Wilt u die weten? Mail dan naar juridisch@ictwaarborg.nl of bel 088-7730079. 

Deze blog is onderdeel van een vierdelige blogreeks over de verwerkersovereenkomst.

Lees Deel 1 - Wat is een verwerkersovereenkomst? 
Lees Deel 2 - Ben ik verwerkingsverantwoordelijke, verwerker of subverwerker? 
Lees Deel 3 - De verwerkersovereenkomst en de aansprakelijkheid

 

Meer nieuws & blogs, november 2019

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73