Volg ons op sociale media

Blog: Misverstanden over de verwerkersovereenkomst

Geplaatst op 9 augustus 2018 om 11:10

Onze jurist mevrouw mr. M.A.H. (Marloes) Wijnholds krijgt veel vragen van deelnemers over juridische zaken. De meest voorkomende vragen en hoe u hier mee om kunt gaan delen wij middels een blog. Dit keer zet zij de misverstanden over de verwerkersovereenkomst uiteen. 

Ondanks dat we 25 mei alweer gepasseerd zijn, bestaat er nog veel onduidelijkheden en verschillende ideeën over de verwerkersovereenkomst. Graag behandel ik de meest voorkomende vragen en misverstanden.

Ik ben maar een kleine ondernemer. De AVG is niet op mij van toepassing

Wanneer u persoonsgegevens verwerkt, moet ook u voldoen aan de AVG. Daar doet de grootte van uw bedrijf niet aan af. Als ICT-dienstverlener heeft u veelal de rol van verwerker of subverwerker, aangezien uw klant doorgaans de gegevens verzamelt en u vraagt hier ‘iets’ mee te doen. De AVG bepaalt dat dit ‘iets’ heel breed is: wanneer u ook maar de theoretische mogelijkheid hebt om toegang/inzicht te hebben in de betreffende persoonsgegevens, dan bent u al verwerker en moet u dus een verwerkersovereenkomst sluiten. 

Ik ben verwerker en het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om een verwerkersovereenkomst te sluiten.

Laat u niet verwarren door de term verwerkingsverantwoordelijke. Op grond van de AVG rust de verantwoordelijkheid voor het sluiten van een verwerkersovereenkomst niet enkel en alleen op de verwerkingsverantwoordelijke, maar ook op u als verwerker. 

De overheid is zelf nog niet klaar voor de AVG, dus ik hoef nog geen verwerkersovereenkomst te sluiten

Het is veel in het nieuws geweest dat bijvoorbeeld de Belastingdienst en de Sociale Verzekeringsbank niet klaar zijn met het implementeren van de AVG. Betekent dit dat u dan ook nog niets met de AVG hoeft te doen of kunt wachten met het sluiten van een verwerkersovereenkomst? Nee, het is uw wettelijke verplichting om per 25 mei jl. aan de AVG te voldoen. Omdat een ander niet aan de AVG voldoet, betekent niet dat u van uw wettelijke plicht wordt ontheven. De Autoriteit Persoonsgegevens waarschuwt bovendien dat er gehandhaafd wordt en dat elke organisatie aan de wet moet voldoen, dus ook de overheid. 

Ik hoef geen verwerkersovereenkomst te sluiten, want ik verwerk geen persoonsgegevens, maar alleen bedrijfsgegevens

Dit klopt niet. Vanaf 25 mei 2018 vallen ook bedrijfsgegevens, zoals zakelijke e-mailadressen en telefoonnummers, onder persoonsgegevens en daarmee dus ook onder de nieuwe privacy wet; AVG.De (Europese) wetgever heeft namelijk besloten het begrip ‘persoonsgegevens’ breed uit te leggen. Er is niet alleen sprake van een persoonsgegeven wanneer een natuurlijk persoon al geïdentificeerd is, maar ook wanneer er een mogelijkheid bestaat dat deze geïdentificeerd kan worden. 

Moet ik al mijn beveiligingsmaatregelen benoemen?

De AVG benoemt geen specifieke beveiligingsmaatregelen. De AVG kan daar ook weinig concreet over zijn, omdat de techniek zich continu verandert en verder ontwikkelt. Zou de AVG wel specifieke beveiligingsmaatregelen opnemen dan zouden deze binnen korte tijd achterhaald zijn. Daarom is bepaald dat de beveiligingsmaatregelen passend technisch en organisatorisch beveiligd dienen te zijn. 

Om discussie te voorkomen over wat nu precies passende beveiligingsmaatregelen zijn, kan het handig zijn om de maatregelen specifiek te benoemen en op te nemen als bijlage in de verwerkersovereenkomst. Wegens de steeds veranderende techniek, moet u opnemen dat partijen periodiek overleg hebben of de beveiliging nog voldoet en of dit eventueel aangepast moet worden. Overleg ook voor wiens rekening de kosten van eventuele aanpassingen komen. Het is overigens niet nodig om te garanderen dat de beveiliging onder alle omstandigheden volledig waterdicht is. 

De verwerkingsverantwoordelijke wenst allerlei hoge boetes in de verwerkersovereenkomst op te nemen. Ben ik verplicht hiermee akkoord te gaan?

Veel bedrijven vinden het heel belangrijk om uitgebreide artikelen in de verwerkersovereenkomst op te nemen omtrent aansprakelijkheid en zetten daar vervolgens zeer hoge boetes op. Denk goed na of u als bedrijf hiermee akkoord wenst te gaan. Het opnemen van een aansprakelijkheidsartikel is namelijk niet wettelijk verplicht. In de AVG is al een hoop geregeld omtrent de aansprakelijkheidsverdeling (zie bijv. art. 82 AVG). Nu onder de AVG de betrokkene (degene van wie de persoonsgegevens zijn) zowel de verwerkingsverantwoordelijke als de verwerker aan kan spreken, kan het wel gewenst zijn om onderling afspraken over verhaal te maken. Houd daarbij wel rekening met de onderliggende hoofdovereenkomst en eventuele toepasselijke algemene voorwaarden. 

Ik heb duizenden klanten! Moet ik met al deze klanten een verwerkersovereenkomst sluiten? Dat is echt veel te veel werk.

Ja, wanneer u persoonsgegevens verwerkt, bent u verplicht een verwerkersovereenkomst te sluiten. Overigens gold deze verplichting ook al onder de Wbp (bewerkersovereenkomst). Ook wanneer u een zeer groot klantenbestand van wel duizenden klanten heeft, dient u aan de AVG te voldoen. Uiteraard kan het lastig en vooral tijdrovend zijn om met al deze klanten in onderhandeling te treden. Als ondernemer wilt u uw kostbare tijd steken in het voeren van uw bedrijf. 

Er zijn een aantal opties om het sluiten van een verwerkersovereenkomst minder tijdrovend te maken. Maak bijvoorbeeld gebruik van een standaarddocument die u al uw klanten zendt. Een mailtje of een aanvinkvakje met akkoord volstaat dan. Bewaar het akkoord dat u ontvangt goed in verband met de bewijslast.

Een andere optie is om uw verwerkersovereenkomst als bijlage van uw algemene voorwaarden te maken. Uw nieuwe klanten kunt u dan uw nieuwe herziene algemene voorwaarden met daarin de verwerkersovereenkomst toezenden. Bij bestaande klanten ligt dat iets anders. Met hen heeft u immers al een overeenkomst gesloten met de daarbij behorende algemene voorwaarden. Wanneer u de algemene voorwaarden wenst te wijzigen, is het belangrijk dat er in uw oude set algemene voorwaarden een zogenaamd eenzijdig wijzigingsbeding is opgenomen. Dit beding geeft u het recht om uw algemene voorwaarden eenzijdig te wijzigen. Voor het wijzigen van de algemene voorwaarden heeft u dan ook geen toestemming nodig van de andere partij. Hoe gaat u te werk? U kunt in een brief of e-mail verwijzen naar de tussen partijen gesloten overeenkomst en aangeven dat de meegestuurde nieuwe algemene voorwaarden van toepassing zijn op de overeenkomst. Sluit de nieuwe algemene voorwaarden op papier bij of in elektronische situaties als direct aanklikbare pdf of hyperlink. In de praktijk zijn er vele onjuiste varianten waarbij verwezen wordt naar de KvK, website of Google, of zelfs varianten waarbij wordt aangegeven wanneer u niet voor een bepaalde datum reageert u automatisch akkoord gaat. Dit is dus niet genoeg. Denk er wel aan om aan te geven per wanneer de nieuwe algemene voorwaarden gelden en geef ook aan wat er in de voorwaarden is gewijzigd. Let wel, de bewijslast van het ter hand stellen van de nieuwe voorwaarden, ligt net als bij nieuwe overeenkomsten, bij u als gebruiker. U moeten kunnen bewijzen dat de nieuwe algemene voorwaarden van toepassing zijn verklaard en ter hand zijn gesteld. 

Wilt u meer informatie over de dienstverlening van ICTWaarborg? Neem dan contact met ons op via 088-7730073. 

Meer nieuws, augustus 2018

Evenementen georganiseerd door ICTWaarborg

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73