Opgelet: is een verwerkersovereenkomst altijd nodig?

Heeft u nu ook sinds medio 2018 een stormvloed aan verwerkersovereenkomsten ontvangen? Lees in onze laatste blog dat een verwerkersovereenkomst op grond van de AVG helemaal niet altijd nodig is.

De Algemene verordening gegevensbescherming (‘AVG’) is inmiddels al weer bijna een jaar van kracht. Waar bent u het afgelopen jaar vooral tegenaan gelopen? Wij komen in de praktijk vooral een stormvloed aan verwerkersovereenkomsten tegen. Men blijft deze overeenkomsten maar naar elkaar toesturen met daarbij de mededeling “Graag deze verwerkersovereenkomst tekenen, want dit is op grond van de AVG verplicht.” Maar is dit eigenlijk wel zo?

U heeft het waarschijnlijk al vele malen na een googlesearch op de termen ‘verwerker’ of ‘verwerkersovereenkomst’ gelezen: wanneer u een andere organisatie inschakelt om voor u persoonsgegevens te verwerken, moet u een verwerkersovereenkomst met deze organisatie sluiten. In de vele resultaten van uw googlesearch leest u vervolgens misschien een korte uitleg over de rol van verwerker, over de verwerkersovereenkomst en wat er in zo’n overeenkomst moet worden opgenomen. Voor de leesbaarheid van deze blog zal ook ik eerst een korte uitleg geven.

Verwerker

U bent een verwerker “wanneer u ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat u aan diens rechtstreekse gezag onderworpen bent.” Om te bepalen of u persoonsgegevens verwerkt ‘ten behoeve van een verwerkingsverantwoordelijke’ is het van belang om te kijken wat de aan u gegeven opdracht nu eigenlijk echt inhoudt. Is de verwerking van persoonsgegevens uw primaire opdracht of vloeit het slechts voort uit een andere vorm van dienstverlening. Met andere woorden uw dienstverlening moet echt gericht zijn op de verwerking van persoonsgegevens.

Onduidelijkheid

Ondanks dat bovenstaande informatie met iedere googlesearch eigenlijk wel te vinden is, ervaren wij in de praktijk toch nog veel onduidelijkheid. In het afgelopen jaar zijn over en weer massaal verwerkersovereenkomsten aan elkaar toegezonden, terwijl dit vaak helemaal niet nodig is. Nu denkt u misschien: maar het kan toch ook geen kwaad om een verwerkersovereenkomst te ondertekenen, wie let daar nu echt op of beter iets dan niets. Maar er zit toch wel een risico aan het ondertekenen van een verwerkersovereenkomst indien u eigenlijk helemaal geen verwerker bent. Als u namelijk een verwerkersovereenkomst sluit, is daar vaak in opgenomen dat u de persoonsgegevens niet voor uw eigen doeleinden mag verwerken. Op het moment dat u helemaal geen verwerker bent en u zelfs misschien wel zelf de verwerkingsverantwoordelijk bent, verwerkt u alleen wel persoonsgegevens voor eigen doeleinden. U zult de overeenkomst dan nooit na kunnen komen met alle gevolgen van dien.

Voorbeelden

Tot nu toe bent u misschien nog steeds niet geholpen bij het vinden van een antwoord op uw vraag: “Wanneer moet dan wel een verwerkersovereenkomst worden gesloten?”

Ik zal daarom proberen dit onderwerp toch wat duidelijker te maken door het geven van verschillende voorbeelden.

Salarisadministratie

Indien een werkgever de loonadministratie van haar onderneming uitbesteed aan een accountantskantoor of een administratiekantoor, bestaat de primaire opdracht aan het betreffende kantoor uit het uitvoeren van de salarisadministratie. Het uitvoeren van de salarisadministratie is alleen mogelijk door het verwerken van persoonsgegevens (zoals de naam, adresgegevens, geboortedatum en functie). Het betreffende accountants- of administratiekantoor is dan ook een verwerker.

BKR

Het Bureau Kredietregistratie (BKR) staat bedrijven, waaronder banken, hypotheek- en kredietverstrekkers en leasemaatschappijen, in staat om de kredietwaardigheid van consumenten te controleren. In het Centraal Krediet Informatiesysteem van het BKR worden de leningen die een consument op dat moment heeft én in de afgelopen vijf jaren heeft gehad, geregistreerd. Voor deze registratie moeten persoonsgegevens worden verwerkt. Op het moment dat een bank of een kredietverstrekker het BKR vraagt om de kredietwaardigheid van een consument te beoordelen, bent u wellicht geneigd om het BKR te zien als een verwerker. Voor de beoordeling van de kredietwaardigheid is immers een verwerking van persoonsgegevens noodzakelijk en de betreffende bank of kredietverstrekker geeft opdracht tot deze verwerking. Toch is het BKR geen verwerker. De primaire opdracht is immers ‘beoordeel voor mij de kredietwaardigheid van deze consument’. De bank of kredietverstrekker zegt daarbij niet welke persoonsgegevens het BKR daarvoor dient te gebruiken of hoe het BKR deze persoonsgegevens moet verwerken. Het BKR bepaalt dan ook zelf het doel en de middelen voor de verwerking van de persoonsgegevens waardoor het BKR zelf de verwerkingsverantwoordelijke is.

App-beheerder

Een app-ontwikkelaar biedt een organisatie een fitness-app aan om medewerkers van die organisatie gezond en fit te houden. De fitness-app verwerkt vervolgens persoonsgegevens van de medewerkers die gebruik maken van de app (zoals bijvoorbeeld, naam, geboortedatum, geslacht, lengte en gewicht). De opdracht van de werkgever aan de app-ontwikkelaar is echter om een fitness-app beschikbaar te stellen ter bevordering van de gezondheid en fitheid van haar medewerkers. De app-ontwikkelaar bepaalt vervolgens zelf welke persoonsgegevens zij nodig heeft om de app dit doel te laten behalen. De app-ontwikkelaar is daarmee dan ook zelf verwerkingsverantwoordelijke ter zake de persoonsgegevens van de medewerkers. De app-ontwikkelaar is dus niet een door de werkgever ingeschakelde verwerker.

Een ander voorbeeld in deze categorie is een app die het mogelijk maakt om allerlei technische gegevens, zoals storingen en verbruik van materialen maar ook productiegegevens, van een machine binnen een onderneming af te lezen. De onderneming zal vervolgens aan een werknemer toegang geven tot deze app en deze werknemer dient op de app persoonsgegevens in te vullen om met een persoonlijk account te kunnen inloggen op de app. Ook in dit geval is de primaire opdracht van de ondernemer/werkgever aan de app-ontwikkelaar gericht op de wens om een app te verkrijgen die het mogelijk maakt om gegevens van de betreffende machine gemakkelijk uit te kunnen lezen. Dat voor het verstrekken van toegang tot deze dienst persoonsgegevens van een werknemer ten behoeve van een gebruikersaccount dient te worden verwerkt, maar de app-ontwikkelaar nog geen verwerker in de zin van de AVG. De opdracht aan de app-ontwikkelaar ziet immers niet op de verwerking van persoonsgegevens.

Clouddienst

Een aanbieder van gegevensopslag in de Cloud is wel een verwerker. De dienst van de betreffende aanbieder van de gegevensopslag ziet namelijk puur op het opslaan van gegevens en daarmee op verwerking van persoonsgegevens.

Verzekeraars en assurantietussenpersoon

Als ondernemer of in privé maakt u wellicht gebruik van een assurantietussenpersoon. U vraagt een assurantietussenpersoon om advies bij het afsluiten van een verzekering en dient mogelijk een claim bij uw verzekering eerst in bij uw assurantietussenpersoon met aan hem/haar het verzoek om de claim bij uw verzekering neer te leggen. Dit betekent dat u opdrachtgever van uw assurantietussenpersoon bent en de assurantietussenpersoon uw persoonsgegevens verwerkt teneinde u te kunnen adviseren ter zake verzekeringen en het vervolgens beheren van uw verzekeringsportefeuille. De assurantietussenpersoon is daarmee verwerkingsverantwoordelijke. Vervolgens verstrekt uw assurantietussenpersoon uw persoonsgegevens aan een verzekeraar met het verzoek om u te verzekeren voor een bepaald risico. Dat de assurantietussenpersoon uw gegevens aan de verzekeraar verstrekt, maakt de verzekeraar echter nog geen verwerker. De verzekeraar bepaalt namelijk zelf welke persoonsgegevens zij wenst te ontvangen om de betreffende verzekering af te sluiten. Bovendien is uw primaire opdracht aan uw assurantietussenpersoon ‘adviseer mij ter zake de noodzaak van en het soort verzekering(en) welke passend is/zijn in mijn situatie’. De verwerking van persoonsgegevens is dan slechts een uitvloeisel van de opdracht. Zowel de assurantietussenpersoon als de verzekeraar zijn zelf verwerkingsverantwoordelijke.

Ik hoop dat het onderwerp ‘de verwerkersovereenkomst’ met bovenstaande voorbeelden toch weer iets duidelijker is geworden. Mocht u toch nog vragen hebben over de verwerkersovereenkomst of een ander onderwerp binnen de privacy wetgeving, kunt u uiteraard altijd contact met mij opnemen.

Geschreven door:

mr. Ewout Lassche

mr. Ewout Lassche.
Heeft u een vraag? Neem contact op.

T: 0318 - 584 999
E: info@axiusadvocaten.nl

Ontdek wat onze advocaten voor
u kunnen betekenen.

Gratis kennismaken