blog

    Het vernieuwde model verwerkersovereenkomst van de VNG

    Liesbeth Woolschot
    Liesbeth WoolschotPublicatiedatum: 22 februari 2019Laatste update: 4 april 2019
    Het vernieuwde model verwerkersovereenkomst van de VNG

    De VNG heeft eind 2018 het vernieuwde model verwerkersovereenkomst gepubliceerd. Dit model is het resultaat van de feedbackronde die ze hebben gehouden na de publicatie van het model uit augustus 2018. Bij dat concept werden veel vraagtekens gezet. Is het vernieuwde model een verbetering ten opzichte van het concept?

    Verplicht gebruik model verwerkersovereenkomst?

    Eén van de voornaamste vragen bij het eerdere model was op basis van welke wettelijke bepaling het gebruik van dit model verplicht zou zijn voor gemeenten en IT-leveranciers. Dit is onveranderd: ook bij het vernieuwde model verkondigt de VNG dat gemeenten het model verplicht dienen te gebruiken. Er ontbrak een toelichting met betrekking tot deze verplichting. Nu vermeldt VNG in het nieuwsbericht bij het vernieuwde model het volgende: “Het College van Dienstverleningszaken (CvD), beleidscommissie van de VNG, heeft een procedure ontwikkeld die VNG zal hanteren bij het vaststellen van standaarden voor gemeentelijke uitvoering. De procedure is opgesteld vanuit ‘de toenemende behoefte om te standaardiseren op onderdelen en processen die beleidsarm en voor elke gemeente gelijk zijn’, aldus CvD in haar notitie bij de procedure. Binnen de procedure bestaan drie vormen van verbindendheid die voor een standaard kunnen gelden: vrijblijvende toepassing, pas-toe-of-leg-uit en verplichte toepassing. De leden van de VNG hebben tijdens de Buitengewone Algemene Ledenvergadering ingestemd met deze procedure.” Daarmee presenteert de VNG het gebruik van het model als een soort lidmaatschapsverplichting. Voor het gebruik van de verwerkersovereenkomst zal in 2019 het pas-toe-of-leg-uit principe gelden, maar vanaf 2020 geldt verplichte toepassing. VNG licht niet nader toe waarom zij de verwerkersovereenkomst een geschikt onderwerp acht voor standaardisering, noch waarom is gekozen voor de meest strenge vorm van verbindendheid. Eveneens is onduidelijk hoe de VNG de positie van de leverancier ziet. Het gaat immers om een overeenkomst tussen twee partijen, ten aanzien waarvan het beginsel van contractsvrijheid geldt. Waarom zou een leverancier zich hier dan aan moeten houden? Als een leverancier niet instemt met de standaard verwerkersovereenkomst zou dit de gemeente in een ongemakkelijke positie kunnen brengen.

    Inhoud overeenkomst

    Inhoudelijk is het model erop vooruitgegaan ten opzichte van het eerste model. De terminologie is consequenter en de tekst is beter aangesloten op hetgeen in de AVG letterlijk is bepaald. Wel zijn een paar aandachtspunten blijven bestaan. Ik zal hierna een viertal aandachtspunten nader toelichten.

    Aandachtspunt 1: rechten betrokkenen

    “4.6 Als Betrokkene een beroep doet op zijn rechten, zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.” Gemeenten moeten erop bedacht zijn dat leveranciers voor het verlenen van ‘hulp’ mogelijk kosten in rekening willen brengen. Het voldoen aan verzoeken van betrokkenen is namelijk een verplichting van de verwerkingsverantwoordelijke. Als vergoeding van dit soort kosten niet verdisconteerd is in de hoofdovereenkomst kan het redelijk zijn om af te spreken dat de verwerkingsverantwoordelijke deze kosten zal vergoeden. De toelichting uit de handreiking geeft overigens aan “Mocht een betrokkene bij de uitoefening van zijn rechten zich rechtstreeks richten tot de verwerker, dan neemt laatst genoemde hierover direct contact op met de verwerkingsverantwoordelijke.” Het is jammer dat deze duidelijke concrete verplichting voor de leverancier niet is opgenomen in het model.

    Aandachtspunt 2: meldplicht datalekken

    “5.1 Verwerker zal verwerkingsverantwoordelijke zo snel mogelijk, maar uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met persoonsgegevens. […]5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.” De leverancier is verplicht om de verwerkingsverantwoordelijke binnen 24 uur na vaststelling te informeren. Dit is strenger dan artikel 33 lid 2 AVG, waarin staat dat verwerker ‘zonder onredelijke vertraging’ dient te melden, maar zeker niet onredelijk. Artikel 5.3 is niet gewijzigd ten opzichte van het eerste model. Het is niet helder wat een ‘gedetailleerd’ logboek precies inhoudt. Dit blijkt niet ook uit de toelichting. Daarom is voorstelbaar dat een leverancier het woord ‘gedetailleerd’ liever schrapt, tenzij de gemeente dit verheldert, bijvoorbeeld met een model of in een bijlage.

    Aandachtspunt 3: aansprakelijkheid

    “6.1 Het aansprakelijkheidsartikel uit de Hoofdovereenkomst is van overeenkomstige toepassing voor schade, uit welke hoofde dan ook, ten aanzien van de verwerking van Persoonsgegevens. Als Partijen niets hebben geregeld over aansprakelijkheid in de Hoofdovereenkomst, zullen zij zich conformeren aan artikel 82 AVG. 6.2 De aansprakelijkheid voor boetes opgelegd door de Autoriteit Persoonsgegevens regelen partijen in de Hoofdovereenkomst. Als partijen hierover niets geregeld hebben in de Hoofdovereenkomst en de Autoriteit Persoonsgegevens een boete oplegt aan één partij, terwijl meer partijen toerekenbaar tekort zijn geschoten, zullen partijen naar rato van verwijtbaarheid de boete dragen.” Opvallend is dat het model voor de verdeling van aansprakelijkheid nu verwijst naar hetgeen daarover is afgesproken in de hoofdovereenkomst. In het eerste model stond een vage aansprakelijkheidsbepaling, dus deze is nu in ieder geval duidelijker. Partijen dienen er wel op bedacht te zijn dat indien zij aansprakelijkheden willen beperken, hier in de hoofdovereenkomst afspraken over moeten maken. Ook is de formulering van “schade, uit welke hoofde dan ook, ten aanzien van de verwerking van Persoonsgegevens” ongelukkig. Het lijkt mij dat het gaat om schade die is ontstaan ten gevolge van tekortkomingen in de nakoming van de verwerkersovereenkomst.

    Aandachtspunt 4: ontbrekende bepalingen

    In de verwerkersovereenkomst is nog niet geregeld dat de verwerker verplicht is om de verwerkingsverantwoordelijke in kennis te stellen wanneer naar zijn mening een instructie een inbreuk op de AVG oplevert. Dit zou de verwerkingsverantwoordelijke volgens de laatste alinea van artikel 28 lid 3 wel moeten afspreken.

    Is het vernieuwde model een verbetering ten opzichte van het concept?

    Hoewel het model beduidend is verbeterd, zijn er nog steeds een aantal kanttekeningen te plaatsen. Het door VNG verkondigde ‘verplicht’ gebruik van de standaard blijft een heikel punt. Maar de VNG is ondertussen nog steeds bezig met het doorontwikkelen van het model. VNG heeft het model aan de Autoriteit Persoonsgegevens voorgelegd. Ook kunnen gemeenten en leveranciers gedurende 2019 op basis van het feitelijke gebruik van de overeenkomst verbetervoorstellen insturen. Wordt vervolgd! Dit artikel is verschenen op 16 januari in Sdu OpMaat Privacyrecht. Zie ook het artikel ‘Een (nieuwe) standaard verwerkersovereenkomst voor gemeenten’ van Liesbeth Woolschot in Sdu OpMaat Privacyrecht van 9 augustus 2018.