Veel organisaties zijn er best druk mee: verwerkersovereenkomsten. Maar zijn ze eigenlijk wel nodig? Vaak niet.

Allereerst: je bent niet verplicht om afspraken met een verwerker vast te leggen in een verwerkersovereenkomst. Je kunt deze bijvoorbeeld ook in een paragraaf van de overeenkomst (SLA) verwoorden.

Verder is er lang niet altijd sprake van een situatie waarbij de ene partij als verwerkingsverantwoordelijke en de ander als verwerker is aan te merken. In veel gevallen zijn beide partijen verwerkingsverantwoordelijke voor hun eigen dienst; en ook al wissel je dan gegevens met elkaar uit, een verwerkersovereenkomst is niet nodig. Sterker zelfs, een verwerkingsovereenkomst is in die situatie ongewenst omdat je de verantwoordelijkheden verplaatst en bijvoorbeeld audits moet uitvoeren (of moet toestaan) waar dat niet nodig is.

In een enkel geval ben je samen verwerkingsverantwoordelijke voor de gegevensuitwisseling; daar kun je een apart contract voor afsluiten. Deze situatie komt minder vaak voor. Hier kom ik in een vervolgartikel op terug.

Vuistregel verwerkersovereenkomst

Een vuistregel voor de beoordeling of een overeenkomst nodig is:

  • worden de gegevens eenmalig gebruikt door een externe partij? Geen overeenkomst nodig.
  • gaan er gegevens in een clouddienst waar ze blijven en worden bewerkt/bijgehouden? Wel een overeenkomst nodig.

Er zijn allerlei uitzonderingen op deze vuistregel, maar de clou is dat de verwerking van gegevens de primaire opdracht moet zijn voor een verhouding verwerkingsverantwoordelijke/verwerker. Dat is bijvoorbeeld niet het geval als je een bloemetje moet laten bezorgen. De bloemist heeft daarvoor natuurlijk een adres nodig; hij gebruikt de gegevens daar eenmalig voor. De bloemist is geen verwerker in de zin van de AVG. Zodra hij het adres heeft ontvangen, is hij zelf verantwoordelijk voor de bescherming van dat adres. Na de bezorging kan hij de gegevens ook snel verwijderen. De uitwisseling van persoonsgegevens aan de bloemist is hier een uitvloeisel van de dienst: een boeket maken voor iemand.

Als er sprake is van gegevensuitwisseling waarbij het om de gegevens draait, gaat het meestal om een clouddienst. Bijvoorbeeld de personeels- of salarisadministratie wordt extern verzorgd. In die gevallen is er een verwerkersovereenkomst nodig. Bloemist? Nee. Externe salarisadministrateur/systeem? Ja. Wissel je gegevens uit die volledig geanonimiseerd zijn dan is de AVG zelfs niet van toepassing.

Driehoeksrelatie

Er zijn veel situaties die net een beetje afwijken. Bekijk altijd wie het doel en/of de middelen bepaalt; die partij is de verwerkingsverantwoordelijke. Ik heb verschillende situaties in de praktijk gezien waarbij partij A aan partij B de verplichting oplegt om informatie in de systemen van partij C te stoppen en vervolgens verwacht dat partij B en C een verwerkersovereenkomst afsluiten. Dat is een onjuiste route: degene die bepaalt/betaalt (partij A) is de verwerkingsverantwoordelijke. Als deze besluit een derde (partij C) in te zetten voor verwerkingen, blijft partij A verantwoordelijk. Het maakt daarbij niet uit of partij B de gegevens aan partij A of rechtstreeks aan partij C moet leveren/uitwisselen.

Meer informatie