De toepasselijkheid van de AVG op 25 mei is dichtbij. Heel dichtbij. Toch moeten nog vele partijen verwerkersovereenkomsten sluiten, wellicht u ook. Let daarbij goed op. Laat u als leverancier niet onder druk zetten om een verwerkersovereenkomst te tekenen met bepalingen over aansprakelijkheden, vrijwaringen voor boetes of kosteloos meewerken aan allerlei verplichtingen. Er bestaat een grote mate van onderhandelingsvrijheid, ook binnen de AVG.

Verplichting sluiten verwerkersovereenkomst

Als u de verwerking van persoonsgegevens uitbesteedt aan een derde partij of zelf de uitbestedende partij bent, dient u schriftelijk een verwerkersovereenkomst te sluiten. De Europese wetgever verplicht al sinds 2001 (in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens) dat de uitvoering van een verwerking door een verwerker moet worden geregeld in een overeenkomst. Het sluiten van verwerkersovereenkomsten zou dan – strikt genomen – ook niets nieuws mogen zijn. Met de invoering van de AVG worden echter meer gespecificeerde en nieuwe eisen gesteld aan de inhoud van een verwerkersovereenkomst. Ook reeds bestaande bewerkersovereenkomsten moeten kritisch tegen het licht worden gehouden, omdat ze mogelijk niet meer voldoen aan de nieuwe eisen.

Checklist verwerkersovereenkomst

De verwerkersovereenkomst bevat minstens een omschrijving van het onderwerp, de duur, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen. Legalz heeft voor u de checklist verwerkersovereenkomst opgesteld, waarin u de vereisten vindt die de AVG stelt aan deze overeenkomst. Het regelen van de onderwerpen specifiek benoemd in de AVG is verplicht voor de verwerkingsverantwoordelijke en de verwerker. De partijen hebben echter een grote mate van contractsvrijheid bij het invulling geven aan deze onderwerpen.

Praktijkvoorbeeld invulling geven aan verwerkersovereenkomst

Neem het onderwerp auditen. Volgens de AVG dient de verwerkersovereenkomst te bepalen dat de verwerker: “audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.” De verwoording van deze wettelijke eis kun je zeer divers in de verwerkersovereenkomst regelen.

De uitwerking van een typisch afnemersvriendelijke auditbepaling vind je in het model verwerkersovereenkomst van de IBD (initiatief van de VNG – Vereniging van Nederlandse Gemeenten):

7.2. De verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te (doen) controleren. De verwerker is verplicht de verwerkingsverantwoordelijke, de Autoriteit Persoonsgegevens, of, de onder geheimhouding, controlerende instantie in opdracht van verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.

7.8. De redelijke kosten van de controle worden gedragen door de partij die de kosten maakt, tenzij uit de controle blijkt dat de verwerker enig punt uit deze verwerkersovereenkomst niet heeft nageleefd. In dat geval worden de kosten van de controle gedragen door de verwerker.

Waar de afnemer alle vrijheid wil om te auditen, wil de leverancier zich beschermen tegen de (over)last en (interne) kosten van het auditrecht van zijn klanten zoveel mogelijk beperken. Dit kan de leverancier bedingen door afspraken op te nemen over bijvoorbeeld de frequentie van auditen, aankondigingsduur, kosten (inclusief daadwerkelijk gemaakte kosten / uren door leverancier), rol bij het aanwijzen van een onafhankelijke auditor en/of de verplichting tot het opvolgen van aanbevelingen van de auditor. Oftewel, als leverancier kunt u zelf ook sturen op de invulling van de verwerkersovereenkomst. Laat u niet onder druk zetten om de standaard verwerkersovereenkomst van uw klant te tekenen, maar controleer goed of de gegeven invulling van de onderwerpen ook echt haalbaar en wenselijk is.

Let op: niet-verplichte onderwerpen

Partijen kunnen, maar zijn niet verplicht om in een verwerkersovereenkomst afspraken te maken over boetes, aansprakelijkheid, vrijwaringen en kosten van werkzaamheden die nodig zijn om te voldoen aan de nieuwe eisen van de AVG. Voor deze onderwerpen geldt contractsvrijheid en bestaat de mogelijkheid om in onderhandelingen over een nieuwe verwerkersovereenkomst de zaken zo veel mogelijk naar eigen hand te zetten.   

Ondersteuning bij AVG-implementatie

Onze ICT-juristen hebben al vele organisaties geholpen bij de implementatie van de AVG. Van het opstellen van een verwerkersovereenkomst, Privacy Impact Analyse (PIA) of verwerkingsregister tot het adviseren over een compleet privacybeleid. Heeft u interesse in een vrijblijvende prijsopgave? Of wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.