Gastblog | Privacy & ICT: 3 tips voor een goede verwerkersovereenkomst

Gastblog | Privacy & ICT: 3 tips voor een goede verwerkersovereenkomst

20-12-2019 11:58:10

reny-stark.jpg

Wekelijks vragen cliënten of ik een verwerkersovereenkomst kan beoordelen of opstellen. Een verwerkersovereenkomst is een overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker, waarin – kort gezegd – wordt vastgelegd hoe de verwerker met de persoonsgegevens van de verwerkingsverantwoordelijke moet omgaan. De verwerkingsverantwoordelijke is bijvoorbeeld een zorginstelling die diensten afneemt bij een IT-leverancier. De IT-leverancier kan worden aangemerkt als verwerker.

Bij het beoordelen van verwerkersovereenkomsten loop ik regelmatig tegen een aantal 'fouten' aan. Ik zet bewust 'fouten' tussen aanhalingstekens, omdat de huidige wet- en regelgeving (nog) niet altijd even duidelijk is over de invulling van de verwerkersovereenkomst. In mijn ogen bestaat er dan ook niet altijd een goed of fout. Wel ben ik ervan overtuigd dat indien een aantal basiszaken goed worden geregeld, veel juridische narigheid in de toekomst kan worden voorkomen. Hierbij dan ook mijn drie tips voor een goede verwerkersovereenkomst.

Tip 1: Wees kritisch op de rechtsverhouding met je contractspartner en stem de verwerkersovereenkomst af op de specifieke situatie 

Vaak zie ik dat verwerkersovereenkomsten geformuleerd worden als een soort van algemene voorwaarden, die standaard van toepassing worden verklaard op iedere overeenkomst waarbij (mogelijk) sprake is van verwerking van persoonsgegevens. Allereerst dient natuurlijk beoordeeld te worden of überhaupt sprake is van een relatie waarbij een verwerkersovereenkomst moet worden gesloten. Is er wel sprake van een verwerkingsverantwoordelijke en een verwerker?

Bedrijven zien al snel een bedrijf dat in aanraking komt met hun data als verwerker. Voor de zekerheid wordt alles contractueel 'dichtgetimmerd' door middel van een verwerkersovereenkomst. Voor je het weet kennen partijen een rechtsverhouding toe die strikt genomen niet bestaat. 'Better be safe than sorry' gaat wat mij betreft ten aanzien van het sluiten van de verwerkersovereenkomst niet altijd op. Controleer dus altijd of u en uw contractspartner daadwerkelijk verwerkingsverantwoordelijke en verwerker zijn.   

Daarnaast komen partijen in de praktijk niet zomaar weg met een standaard overeenkomst. Mijns inziens is een verwerkersovereenkomst maatwerk. Investeer dus in een goede verwerkersovereenkomst. Voor een verwerker betekent dit in beginsel niet dat er ten aanzien van iedere klant een andere verwerkersovereenkomst dient te worden gesloten. Juist niet. In de praktijk is het namelijk onmogelijk om alle nuanceringen ten aanzien van verschillende klantenrelaties te onthouden en te blijven toepassen. Ik raad verwerkers dan ook aan om klanten standaard hun eigen verwerkersovereenkomst aan te bieden die aansluit bij de dienstverleningsovereenkomst. De twee documenten moeten elkaar niet tegenspreken, maar juist aanvullen. Ook is het belangrijk om de duur van de verwerkersovereenkomst gelijk te stellen aan de duur van de raamovereenkomst. 

Let er op dat de verwerkersovereenkomst past bij zowel de bedrijfsvoering van de verwerker als die van de verwerkingsverantwoordelijke. Kunnen de afspraken in de praktijk wel (relatief gemakkelijk) nagekomen worden? Zijn de gegeven garanties op bijvoorbeeld securityniveau passend? Zijn de eisen met betrekking tot vernietiging van data in de praktijk wel realistisch door te voeren? Het is dan ook zaak dat de verwerkersovereenkomst wordt afgestemd op de specifieke situatie van partijen. 

Tip 2: Zorg voor een heldere en volledige aansprakelijkheidsbepaling. 

Een ondeugdelijke aansprakelijkheidsbepaling is risicovol. Zorg dan ook voor een heldere en volledige aansprakelijkheidsbepaling. Vooral voor een verwerker is het zaak om hier kritisch naar te kijken. Indien bijvoorbeeld een relatief kleine IT-leverancier 'de Ahold's en KPN's van deze wereld' als klant heeft, dan bestaat de kans dat een aansprakelijkheidsstelling hem uiteindelijk de kop kost. Alleen al vanwege het feit dat zijn grote klanten waarschijnlijk voldoende middelen hebben om uitgebreid te procederen en hijzelf wellicht niet. Het is dan ook verstandig om nadrukkelijk overeen te komen hoever de aansprakelijkheid reikt. Het is ook zaak dat verwerkingsverantwoordelijken kritisch durven te zijn met betrekking tot de vraag wat het risico in dezen precies is en hoe dit risico in de praktijk geminimaliseerd kan worden. De aansprakelijkheidsbepaling zie ik als een vangnet aan de achterkant, maar juist het voorkomen van schade – oplossingen zoeken aan de voorkant – is bij dit soort vraagstukken relevant.

Tip 3: Wat te doen in het geval van een lek?

Een ongeluk zit in een klein hoekje. Het kan dan ook (onbedoeld) voorkomen dat er toch iets mis gaat en dat persoonsgegevens worden gelekt. U heeft in de praktijk te maken met twee verschillende organisaties, met twee verschillende bedrijfsvoeringen. Het is zinvol om tijdig met elkaar een vaste procedure af te spreken voor het geval dat er iets misgaat. Wie zijn de contactpersonen? Hoe zijn deze personen het gemakkelijkst en snelst te bereiken? Waar zit voor welke partij het meeste risico? Zaken om van tevoren goed over na te denken. Dit kan in het geval van een incident een schade beperkend effect met zich meebrengen. 

Conclusie 

De verwerkersovereenkomst is geen standaard document die ook niet altijd in iedere situatie en op iedere rechtsverhouding van toepassing is. Beoordeel of uw contractspartner wel een verwerker (of verwerkingsverantwoordelijke) is en durf kritisch te zijn ten aanzien van de inhoud van de overeenkomst. Het is belangrijk om goed te kijken naar de afspraken die u in deze overeenkomst vastlegt en deze laat aansluiten op de relatie die u heeft met uw contractspartner.  

Wilt u meer weten over juridische IT-onderwerpen?

Check dan regelmatig onze rubriek 'Wet- & Regelgeving' waar u meer artikelen vindt over wetten en regels specifiek voor de hostingbranche. Uiteraard kunt u ook uw vraag direct richten aan advocaat R.M. (Reny) Stark van Van Veen Advocaten via 0318 687 803.

Gastblog