Als u regelmatig met gemeenten samenwerkt, dan bent u bekend met hun model verwerkersovereenkomst. Een niet bepaald voordelig model voor u als ICT-leverancier. Tot nu toe dan. Op 1 augustus heeft de Informatie Beveiligingsdienst (IBD) namelijk een nieuwe versie van het model verwerkersovereenkomst gepubliceerd. Hieronder de belangrijkste wijzigingen, waardoor dit model een stuk beter voor u uitpakt.
Beperking aansprakelijkheid nu wel geregeld
Aansprakelijkheid vormde vaak een deal breaker in het vorige model verwerkersovereenkomst van gemeenten. Voor IT-leveranciers was het onverklaarbaar en onacceptabel dat – in tegenstelling tot de hoofdovereenkomst – geen aansprakelijkheidsbeperking gold voor de verwerkersovereenkomst.
Het zal u dan ook goed doen te horen dat er in de nieuwe versie een acceptabelere bepaling over aansprakelijkheid is opgenomen. Aansprakelijkheid die ontstaat door toerekenbaar tekortschieten in het naleven van de verwerkersovereenkomst, wordt volgens het nieuwe model beperkt tot 4 maal de vergoeding zoals verschuldigd overeenkomstig de hoofdovereenkomst.
Kosten van meerwerk juist niet geregeld
Een ander onderwerp dat regelmatig discussie opleverde, waren de kosten die de leverancier maakt bij het uitvoeren van meewerkverplichtingen. Volgens de AVG is de leverancier verplicht om zijn medewerking te verlenen bij de uitvoering van een audit of PIA en het retourneren van persoonsgegevens bij beëindiging van de overeenkomst. Leveranciers en gemeenten leken daar vaak lijnrecht tegenover elkaar te staan. Leveranciers willen kosten in rekening kunnen brengen voor deze aanvullende AVG-verplichtingen. De gemeente deed vaak een beroep op de medewerkingsverplichting van de AVG en stelde dat de leverancier dit op eigen kosten moest doen.
Het nieuwe model probeert beter aan te sluiten op de afspraken in de hoofdovereenkomst. Er wordt daarom niets over kosten geregeld in de verwerkersovereenkomst. Of dat gunstig uitpakt voor u als IT-leverancier is afhankelijk van hetgeen in de hoofdovereenkomst is geregeld. Als dit onderwerp niet wordt geregeld in de hoofdovereenkomst, laat het nieuwe model hier een lacune.
Geen vervanging voor bestaande overeenkomsten
Dit nieuwe model zal voortaan door gemeenten aangehouden worden bij het sluiten van ICT-contracten waarin persoonsgegevens worden verwerkt. Uw reeds bestaande verwerkersovereenkomsten met gemeenten zullen op dit moment dus niet wijzigen.
Nieuw model als aanvulling op de hoofdovereenkomst
Al met al wordt de verwerkersovereenkomst meer een document dat aansluit en aanvult op de hoofdovereenkomst. Voorheen zagen we vaak dat in de verwerkersovereenkomst afspraken werden opgenomen die – ten nadele van de IT-leverancier – erg afwijken van wat in de hoofdovereenkomst stond (bijvoorbeeld op het gebied van aansprakelijkheid, meerwerk, etc.). In dat opzicht is dit model een verbetering voor de IT-leverancier. Hoewel het nieuwe model vaak nog niet in de buurt komt van de bescherming die uw eigen model biedt.
Advies nodig over verwerkersovereenkomsten?
Wilt u hulp bij het beoordelen van een verwerkersovereenkomst of wilt u er zelf één (laten) opstellen? Onze ICT-juristen helpen u graag verder. Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.
Ontvang onze blogs in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.