Eind vorig jaar publiceerde de Autoriteit Persoonsgegevens (AP) de resultaten van haar verkennend onderzoek naar het gebruik van verwerkersovereenkomsten in de private sector. Dit onderzoek oogt allesbehalve rooskleurig en bewijst dat veel ondernemingen – hoewel ze het wellicht goed willen doen – met hopeloos verouderde of zelfs foute verwerkersovereenkomsten werken. Hierdoor nemen zij onnodig risico’s.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst of bewerkersovereenkomst is soms, op grond van de privacywetgeving, verplicht op te stellen. Dit is het geval wanneer een verwerkingsverantwoordelijke een andere organisatie inschakelt om voor hem persoonsgegevens te verwerken. Het kan daarbij gaan om eenvoudige zaken, zoals het gebruik van een clouddienst waar de persoonsgegevens worden opgeslagen of het uitbesteden van de boekhouding. Een verwerkersovereenkomst is dan ook sneller nodig dan je zou denken.
Het uitbesteden van een aantal taken ontslaat de verwerkingsverantwoordelijke niet zomaar van zijn verantwoordelijkheden. Hij moet nog steeds waken over de correcte beveiliging en aanwending van de persoonsgegevens. Daarom moet hij verplicht een verwerkersovereenkomst sluiten. In deze verwerkersovereenkomst staan afspraken over zaken zoals de beveiliging, wat er al dan niet met de persoonsgegevens mag gebeuren, of er opnieuw andere subverwerkers mogen worden ingeschakeld en dergelijke meer. In artikel 28 van de AVG zijn de concrete eisen ten aanzien van zo’n verwerkersovereenkomst opgenomen.
Autoriteit Persoonsgegevens legt talrijke risico’s bloot
Een eerste belangrijke conclusie van het onderzoek is dat er nog veel verwerkersovereenkomsten zijn die niet integraal aan de AVG-eisen voldoen. Er werd hierbij vaak niet voldaan aan de wettelijke eisen van artikel 28, lid 3 AVG.
In een aantal gevallen constateerde de AP zelfs dat de dagtekening dateerde van na haar vraag om informatie. Dit zou kunnen betekenen dat ondernemers aanvankelijk niet in orde waren met hun verplichtingen en pas nadien het nodige hebben gedaan. We kunnen niet voldoende benadrukken dat dit absoluut niet zonder risico is.
Verder heeft de AP opgemerkt dat er nog een groot aantal overeenkomsten zijn die naar artikelen van de Wbp verwijzen (Wet bescherming persoonsgegevens). Nochtans is de AVG sinds 25 mei 2018 van toepassing. Niet alleen wordt er al eens fout verwezen, maar bovendien voldoen deze oude verwerkersovereenkomsten vaak niet aan de nieuwe eisen van de AVG. Zo is bijvoorbeeld de informatieplicht die op de verwerkingsverantwoordelijke rust op 25 mei 2018 gewijzigd.
Verwerkersovereenkomsten opstellen is specialistenwerk
Het onderzoek van de Autoriteit Persoonsgegevens heeft aangetoond dat veel verwerkingsverantwoordelijken het opstellen van een verwerkersovereenkomst heel complex vinden. Bovendien worden er nog vaak verouderde documenten gebruikt of voldoet men niet aan de strenge AVG-eisen.
Het ging nu (gelukkig) slechts om een verkennend onderzoek, maar het bewijst wel dat veel ondernemers in de problemen kunnen komen. Zeker als het uiteindelijk fout zou lopen en het risico op schadeclaims reëel wordt. En dan hebben we het nog niet gehad over de boetes of dwangsommen die tot tienduizenden euro’s kunnen oplopen.
Voor ieder die speelt met vuur: het is tijd om de lont te ruiken en het opstellen van verwerkersovereenkomsten aan juridische experts over te laten. Bij MKBrecht.nl doen we graag het nodige. Lees meer over de verwerkersovereenkomst en plan een gratis intakegesprek in.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44
