IBD model verwerkersovereenkomst onder de loep

verwerkersovereenkomst

Onlangs is door de Informatiebeveiligingsdienst (IBD) een standaard verwerkersovereenkomst gepubliceerd. Kennelijk vormen de reacties op de eerste publicatie van dit model aanleiding om het model te herzien, want op 12 september jl. deed de IBD een oproep tot het geven van feedback op het model teneinde het model te kunnen ‘verfijnen’. In deze blog licht ik toe waar de knelpunten zitten aan de hand van een paar algemene opmerkingen en een aantal artikelsgewijze opmerkingen.

Algemene opmerkingen

Verplicht gebruik?

De standaard verwerkersovereenkomst is volgens de handreiking verplicht voor gemeenten “nadat deze is vastgesteld door het College van Dienstverlening van de Vereniging Nederlandse Gemeenten (VNG).” Noch uit de tekst van de verwerkersovereenkomst, noch uit de handreiking blijkt echter op grond waarvan deze verplichting geldt. Een nadere toelichting van de IBD en VNG hierop is dan ook te verwachten. Temeer nu de ‘verplichting’ ook voor leveranciers geldt. Kennelijk hebben leveranciers dus geen inspraak meer op hetgeen zij contractueel afspreken. Dit terwijl het model op bepaalde punten niet voordelig is voor leveranciers. Het is daarom te verwachten dat leveranciers hier niet mee willen instemmen. Hoe kan een gemeente dan nog voldoen aan haar verplichting als verwerkingsverantwoordelijke tot het sluiten van een verwerkersovereenkomst met haar verwerkers uit artikel 28 AVG?

Taalgebruik

Het valt op dat de tekst van de verwerkersovereenkomst niet heel nauwkeurig is geformuleerd. De terminologie is niet consequent, zo wisselt de overeenkomst ‘verwerkingsverantwoordelijke’ af met ‘verantwoordelijke’ en spreekt de overeenkomst over ‘andere verwerkers’ in plaats van ‘sub-verwerkers’. Ook bevatten sommige bepalingen abstracte normen waarover mogelijk tussen partijen onenigheid kan ontstaan.

Artikelsgewijze opmerkingen

Artikel 28 AVG dicteert wat in een verwerkersovereenkomst moet staan, maar het lijkt erop dat de IBD dit nog niet helder voor ogen heeft. Van niet alle bepalingen is duidelijk met welk doel deze zijn opgenomen en hoe dit zal uitwerken in de praktijk. Hierna licht ik bij een aantal bepalingen uit het model toe waarom deze voor de praktijk niet werkbaar zijn: “4.2 Verwerker mag niets beslissen over de persoonsgegevens die hij heeft ontvangen voor de uitvoering van de Hoofdovereenkomst. Zo neemt hij geen beslissingen over de ontvangst en het gebruik van deze gegevens, de verstrekking aan derden en de duur van de opslag van gegevens.” Zowel de toelichting in de handleiding als de bepaling zelf zijn onduidelijk. Met name is niet helder wat “beslissingen over de ontvangst en het gebruik” inhouden. Het is vaag hoe deze bepaling uitwerkt in de praktijk: mag de verwerker bijvoorbeeld geen eisen meer stellen aan het formaat van de gegevens, indien zijn systeem dit vereist? Mogelijk kan deze bepaling dan ook tot misverstanden leiden tussen partijen. Wellicht beoogt de IBD met deze bepaling vast te leggen dat verwerker slechts mag verwerken op basis van de schriftelijke instructies van verwerkingsverantwoordelijke. “4.5 Als Betrokkene een beroep doet op zijn rechten (o.a. inzage, correctie, verwijdering), helpt Verwerker Verantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.” Het voldoen aan verzoeken van betrokkenen is een verplichting die op de verwerkingsverantwoordelijke rust. Wat voor leveranciers belangrijk is, is dat het verlenen van ‘hulp’ mogelijk tot kosten kan leiden die niet zijn verdisconteerd in de hoofdovereenkomst. Als dat niet het geval is kan het redelijk zijn om af te spreken dat de verwerkingsverantwoordelijke deze kosten zal vergoeden. “4.6 Als Verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling, of een audit wil uitvoeren en de hulp van Verwerker daarbij nodig heeft, dan maken Partijen daarover afspraken.” Voor nieuwe verwerkingen die waarschijnlijk een hoog risico opleveren voor de rechten en vrijheden van betrokkenen dient de verwerkingsverantwoordelijke verplicht een gegevensbeschermingseffectbeoordeling (ook wel ‘data protection impact assessment’ of afgekort ‘DPIA’) uit te voeren. Artikel 4.6 lijkt dit blijkens de toelichting gelijk te stellen met de verplichting tot het verlenen van medewerking aan eventuele audits of controles. Dit zijn twee verschillende instrumenten. Artikel 28 lid 3 AVG bepaalt dat de verwerkingsverantwoordelijke de verwerker mag verplichten ‘bijstand te verlenen’ bij DPIA’s. Op grond van artikel 28 lid 3 onder h AVG moet de verwerker de door de verwerkingsverantwoordelijke uit te voeren audits mogelijk maken en eraan bijdragen. Gelet op dit laatste is de bepaling die nu in het model is opgenomen te vrijblijvend voor de leveranciers. Het model geeft nu namelijk de ruimte om afspraken te maken die afwijken van artikel 28 AVG. “5.4 Verwerker heeft een gedetailleerd logboek van alle Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.” Het is niet helder wat een ‘gedetailleerd’ logboek precies inhoudt. Dit blijkt niet uit de toelichting. Welke mate van detail dient het logboek te bevatten? Voorstelbaar is dat de leverancier het woord ‘gedetailleerd’ liever schrapt. “6.2 De aansprakelijkheid voor schade, uit welke hoofde dan ook, is beperkt tot viermaal de hoogte van de vergoeding per gebeurtenis, waarbij de aansprakelijkheid nooit meer bedraagt dan € 5.000.000,-.” De praktische uitwerking van een beperking tot “viermaal de hoogte van de vergoeding per gebeurtenis” is vaag. Wat kan de leverancier beschouwen als één gebeurtenis? Wanneer is sprake van een vergoeding van een gebeurtenis? Uit de toelichting blijkt dat voor het maximum van € 5.000.000,00 is gekozen om aan te sluiten bij de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Voor de leveranciers kunnen hier grote belangen mee zijn gemoeid, dus het is noodzakelijk dat zij hier meer duidelijkheid over krijgen. “7.1 Na afloop van de werkzaamheden, zal Verwerker op verzoek van Verwerkingsverantwoordelijke de ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke teruggeven en/of vernietigen.7.2 Verwerkingsverantwoordelijke kan nadere redelijke eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaamheden moeten, binnen een nader overeen te komen redelijke termijn, uitgevoerd worden.” Ook hier geldt dat indien eventueel door de leverancier te maken kosten niet zijn verdisconteerd in de hoofdovereenkomst, het redelijk kan zijn om af te spreken dat de verwerkingsverantwoordelijke deze wel draagt. De toelichting geeft aan dat het ter beschikking stellen en/of vernietigen van de persoonsgegevens kan leiden tot meerwerk, maar zegt niets over het dragen van de (redelijke) kosten voor dit meerwerk. “8.2 Alle rechten en verplichtingen uit de Hoofdovereenkomst, waaronder begrepen de van toepassing zijnde algemene voorwaarden, zijn voor het overige aanvullend van toepassing op de verwerking van Persoonsgegevens.” Wat als de hoofdovereenkomst bepalingen omtrent de omgang met persoonsgegevens bevat die tegenstrijdig zijn aan de verwerkersovereenkomst? Door bepaling 8.2 kan dit tot een botsing leiden. Het is aan te bevelen om de bepalingen uit één van beide overeenkomsten voor te laten gaan. Daarbij zou het logischer zijn de verwerkersovereenkomst voor te laten gaan, omdat deze specifiek op het verwerken van persoonsgegevens is toegespitst.

Ontbrekende bepalingen

Naast de voorgaande kanttekeningen ontbreken er een aantal bepalingen. Zo is de verwerker niet verplicht om de verwerkingsverantwoordelijke in kennis te stellen wanneer naar zijn mening een instructie een inbreuk op de AVG oplevert. Dit zou de verwerkingsverantwoordelijke volgens de laatste alinea van artikel 28 lid 3 wel moeten afspreken. Ook is er niets geregeld over doorgifte van gegevens buiten de Europese Economische Ruimte. Dat terwijl artikel 28 lid 3 onder a AVG bepaalt dat een verwerker persoonsgegevens alleen mag doorgeven buiten de EER als hij daar schriftelijke instructies van de verwerkingsverantwoordelijke voor heeft, dan wel op basis van een wettelijke verplichting.

Slotsom

Zowel voor gemeenten als leveranciers bevat de huidige versie van het model verwerkersovereenkomst een aantal valkuilen. Voor beide partijen is te hopen dat de VNG veel reacties op de verwerkersovereenkomst ontvangt. Je kunt jouw feedback op de verwerkersovereenkomst indienen door te mailen naar privacy@vng.nl onder vermelding van Feedback Standaard Verwerkersovereenkomst [naam eigen organisatie]. Een toetsingscommissie zal de uiteindelijke wijzigingen in het model beoordelen. Gemeenten en leveranciers kunnen voor deze toetsingscommissie overigens ook leden aandragen door te mailen naar hetzelfde e-mailadres. Wij zullen je in ieder geval op de hoogte houden.

Stel je vragen aan onze specialisten

“Neem contact met mij op en ontvang antwoord op jouw vragen. Ik ben bereikbaar per mail of telefoon.”
Joost Mosselman