Voldoen aan de AVG is geen eenmalige aangelegenheid. Zo worden er sinds de AVG van kracht is nog dagelijks verwerkersovereenkomsten gesloten. Niet zonder discussie. Met name het onderwerp aansprakelijkheid levert veel onduidelijkheid op. Tijd voor opheldering, met name over de stelling dat leveranciers onbeperkt aansprakelijk zijn voor schending van de verwerkersovereenkomst…

Verwerkersovereenkomst: hoe zit het ook alweer?

Als u de verwerking van persoonsgegevens uitbesteedt aan een derde partij, dan dient u schriftelijk een verwerkersovereenkomst te sluiten. De verwerkersovereenkomst bevat onder meer een omschrijving van het onderwerp, de duur, de aard en de doeleinden van de verwerking. Het regelen van de onderwerpen specifiek benoemd in de AVG is verplicht voor de verwerkingsverantwoordelijke en de verwerker. De partijen hebben echter een grote mate van contractsvrijheid bij het invulling geven aan deze onderwerpen.

Deze vrijheid leidt uiteraard tot discussie. Een van de grote discussiepunten is de aansprakelijkheid van de verwerker van de persoonsgegevens. In deze blog bedoelen we met verwerker de IT-leverancier en met verwerkingsverantwoordelijke de afnemer.

Aansprakelijkheid: IT-contract vs. verwerkersovereenkomst

Een verwerkersovereenkomst wordt meestal gesloten als onderdeel van of naast een reeds bestaand (IT-)contract. In dit contract is als het goed is een aansprakelijkheidsregeling opgenomen, waarin de aansprakelijkheid vaak wordt beperkt. Bijvoorbeeld door de beperking van de vergoedingsplicht tot een bepaald plafondbedrag of de uitsluiting van indirecte schade.

Bij de sluiting en onderhandeling over verwerkersovereenkomsten die samenhangen met lopende contracten, komt het onderwerp aansprakelijkheid opnieuw om de hoek kijken. We zien vaak dat afnemers vragen om onbeperkte aansprakelijkheid en vrijwaringen door de leverancier als het gaat om schending van verplichtingen uit de verwerkersovereenkomst en/of de AVG. Zij menen dat aansprakelijkheid van de verwerker op grond van de AVG onbeperkt is en ook moet zijn omdat afwijking van de (dwingendrechtelijke) bepalingen van de AVG niet mogelijk is. Dit is echter een halve waarheid.

Accepteer geen onbeperkte aansprakelijkheid

De AVG kent inderdaad bepalingen over de aansprakelijkheid van verwerker en verwerkingsverantwoordelijke ten opzichte van betrokkenen van wie de persoonsgegevens worden verwerkt. Daar is vanuit het oogpunt van bescherming van de betrokkenen, geen afwijking mogelijk.

Dit zegt echter niets over de verhouding tussen de verwerker en de verwerkingsverantwoordelijken, in dit geval de leverancier en de afnemer. Dat zijn partijen die met elkaar (vrijelijk) kunnen contracteren over de – kort gezegd – verdeling van het aansprakelijkheidsrisico.

Het idee dat de leverancier onbeperkt aansprakelijk zou moeten zijn tegenover de afnemer is een misvatting. Als uw klant onbeperkte aansprakelijkheid door u als leverancier wil opnemen in de verwerkingsovereenkomst, dan weet u wat u moet doen. Niet accepteren!

Hulp nodig?

Onze ICT-juristen hebben al vele organisaties geholpen bij de implementatie van de AVG. Van het opstellen van een verwerkersovereenkomst, Privacy Impact Analyse (PIA) of verwerkingsregister tot het adviseren over een compleet privacybeleid. Heeft u interesse in een vrijblijvende prijsopgave? Of wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.