Netherlands: GDPR Update: Data Processors (Dutch)

AVGB-update: Verwerkers

Het onderscheid tussen de verantwoordelijke en de verwerker 

In deze AVGB-update staat de rol van de bewerker centraal (onder de Algemene Verordening Gegevensbescherming (de AVGB) voortaan aangeduid met de term 'verwerker'). Wij belichten de rol van de verwerker vanuit het perspectief van de verwerker zelf en vanuit het perspectief van de verantwoordelijke.

Anders dan onder de Richtlijn 95/46/EC (de Richtlijn) en de Wet bescherming persoonsgegevens (de Wbp), krijgen verwerkers onder de AVGB bepaalde zelfstandige verantwoordelijkheden. Dit betekent dat niet langer slechts de verantwoordelijke verantwoordelijk voor is voor de naleving van de (Nederlandse) privacyregelgeving, maar dat vanaf 25 mei 2018 ook de verwerker zelfstandig kan worden aangesproken op de niet-naleving van de AVGB en daarbij behorende aanvullende regelgeving. Meer nog dan in het verleden is het vanaf nu van groot belang om de rol van verwerker goed te kunnen onderscheiden van de rol van verantwoordelijke.

De verantwoordelijke (in de AVGB-terminologie de 'verwerkingsverantwoordelijke') is de (rechts)persoon die het doel en de middelen van de verwerking bepaalt. De verwerker is de (rechts)persoon die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Dit betekent dat de verwerker geen doel en middelen vaststelt ten aanzien van de verwerking. In de praktijk gaat het vaak om een uitbesteding van een specifieke verwerking binnen een organisatie. Voorbeelden hiervan zijn de salarisverwerking, personeelsadministratie, klantenbeheer, cloud- en hostingdiensten en/of camerabeveiliging.

De verwerker dient te opereren binnen de grenzen van hetgeen de verantwoordelijke de verwerker heeft opgedragen. Zodra de verwerker verder verwerkt (ofwel zelf de doeleinden en middelen van de verwerking gaat bepalen) dan wordt de verwerker (voor dat deel) aangemerkt als een verantwoordelijke. Men denke hierbij aan een verwerker die persoonsgegevens tevens verwerkt ten behoeve van statistische analyses voor intern gebruik. Dit betekent een organisatie ten aanzien van dezelfde set persoonsgegevens verschillende rollen kan aannemen.

Een van de belangrijkste gevolgen voor verwerkers van de inwerkingtreding van de AVGB, is dat er rechtstreeks wettelijke verplichtingen op verwerkers komen te rusten. Die verplichtingen rusten onder de Wbp slechts op de verantwoordelijke en worden in de praktijk nu al vaak contractueel doorgelegd aan de verwerker. Met de inwerkingtreding van de AVGB kan de verwerker nu ook zelfstandig worden aangesproken door de Autoriteit Persoonsgegevens (de AP) en kan hij civielrechtelijk aansprakelijk zijn jegens derden. Voor een uitgebreide analyse van de rollen verantwoordelijke en verwerker verwijzen wij naar Opinie 1/2010 (pdf) van de Artikel 29 Werkgroep, de koepel van privacy toezichthouders in de Europese Unie (EU).

De AVGB vanuit het perspectief van de verwerker

Territorialiteit 

De Wbp is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. De AVGB is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van de verantwoordelijke of verwerker in de EU, ongeacht of de verwerking daadwerkelijk in de EU plaatsvindt. Verwerkers worden geconfronteerd met een uitbreiding van de territoriale reikwijdte van Europese privacyregelgeving. Daarbij is de AVGB eveneens van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden, door een verantwoordelijken of verwerkers wanneer zij niet in de EU gevestigd zijn en wanneer de verwerking verband houdt met:

1. het aanbieden van goederen of diensten aan deze betrokkenen; of
2. het monitoren van het gedrag van deze betrokkenen.

In deze gevallen dient de verwerker schriftelijk een vertegenwoordiger in de EU aan te wijzen, tenzij sprake is van een incidentele verwerking waarbij de kans gering is dat die een risico inhoudt voor de betrokkenen. Overheidsinstanties en -organen zijn uitgezonderd van deze verplichting. Deze vertegenwoordiger dient door de betreffende verwerker gemachtigd te worden om te mogen worden benaderd door toezichthoudende autoriteiten en betrokkenen in het kader van de met de verwerking verband houdende activiteiten. De verplichting een vertegenwoordiger in de EU aan te wijzen is een verplichting waar de verwerker - in ieder geval op grond van de wet - tot op heden nog niet over na hoefde te denken.

Verwerkersovereenkomst

Net als de Wbp vereist de AVGB dat de afspraken tussen de verwerkingsverantwoordelijke en verwerker met betrekking tot de verwerking worden neergelegd in een verwerkersovereenkomst. Nieuw ten opzichte van de Wbp is de dwingende invulling die de AVGB aan de verwerkersovereenkomst geeft. Artikel 28 AVGB bevat een vrij gedetailleerde regeling ten aanzien van de vereisten waar een verwerkersovereenkomst aan moet voldoen.

Artikel 28 AVGB schrijft onder meer voor dat het de verwerker in beginsel niet is toegestaan om voor de verwerking andere verwerkers of sub-verwerkers in dienst te nemen, zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verantwoordelijke. Deze specifieke of algemene schriftelijke toestemming kan worden opgenomen in de verwerkersovereenkomst tussen partijen. Indien er sprake is van een algemene toestemming, zal de verwerker de verantwoordelijke telkens op de hoogte moeten stellen wanneer hij (een deel van) de (sub-)verwerkers vervangt. De verantwoordelijke moet dan de mogelijkheid worden geboden om bezwaar te maken tegen de keuzes van de verwerker op dit punt. De verantwoordelijke blijft immers eindverantwoordelijk ten aanzien van de verwerking en is doorgaans het aanspreekpunt van de betrokkenen (die veelal niet zullen weten dat een verwerker is ingeschakeld).

Zodra de verwerker een sub-verwerker inschakelt voor een bepaald onderdeel van de verwerking, moet verwerker de verplichtingen die hij heeft uit hoofde van de verwerkersovereenkomst doorleggen aan de betreffende sub-verwerker. Indien de sub-verwerker zijn verplichtingen niet nakomt, dan blijft de verwerker ten aanzien van de verantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van de sub-verwerker. Het is aldus van belang dat verwerkers zeer bewust en zorgvuldig te werk gaan bij het kiezen van sub-verwerkers. Verwerkers mogen slechts overeenkomsten sluiten met sub-verwerkers die afdoende garanties bieden.

De verwerkersovereenkomst dient allereerst een algemene beschrijving van de verwerking te bevatten. Artikel 28 AVGB bepaalt dat hieronder valt: (i) het onderwerp en de duur van de verwerking, (ii) het soort persoonsgegevens dat wordt verwerkt, (iii) de categorieën van de betrokkenen van wie persoonsgegevens worden verwerkt, en (iv) de rechten en verplichtingen van de verantwoordelijke.

Voorts dient de verwerkersovereenkomst expliciet te bepalen dat de verwerker:

1. de persoonsgegevens uitsluitend zal verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens derhalve niet voor eigen doeleinden verwerken;
2. waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of op grond van de wet aan vertrouwelijkheid zijn gebonden (de geheimhoudingsplicht);
3. passende technische en organisatorische maatregelen zal nemen om de verwerking te beveiligen. Voorbeelden hiervan zijn pseudonimisering, versleuteling van persoonsgegevens, en het regelmatig uitvoeren van beveiligingstesten;
4. aan de voorwaarden voor het in dienst nemen van een andere verwerker en/of sub-verwerker voldoet, waaronder het schriftelijkheidsvereiste en het doorleggen van verplichtingen (zoals hierboven reeds beschreven);
5. de verwerkingsverantwoordelijke bijstand zal verlenen bij het vervullen van diens plicht om verzoeken van betrokkenen in te willigen met betrekking tot de uitoefening van hun rechten;
6. verwerkingsverantwoordelijke bijstand verleent in de nakoming van enkele, specifieke verplichtingen die uit hoofde van de AVGB op de verwerkingsverantwoordelijke rusten, waaronder het melden van datalekken, het uitvoeren van een privacy impact assessment (PIA; of zoals de Nederlandse taalversie van de AVGB het beknopt noemt: een 'gegevensbeschermingseffectbeoordeling') en eventuele voorafgaande raadpleging van de toezichthoudende autoriteit in het kader van een PIA;
7. na afloop van de verwerkingsdiensten alle persoonsgegevens wist of teruggeeft (de keuze is aan de verwerkingsverantwoordelijke), en bestaande kopieën van de persoonsgegevens verwijdert, tenzij het bewaren van de persoonsgegevens wettelijk verplicht is (denk hierbij bijvoorbeeld aan fiscale bewaarplichten of specifieke sectorale wetgeving); en
8. de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in artikel 28 AVGB neergelegde verplichtingen aan te tonen en meewerkt aan audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een derde.

De AVGB biedt de nationale toezichthoudende autoriteiten de mogelijkheid om een model voor een standaard verwerkersovereenkomst op te stellen. De AP heeft echter aangegeven van deze mogelijkheid voorlopig geen gebruik te maken, waarmee de bal daarmee bij organisaties zelf ligt. De verwerkersovereenkomst hoeft overigens geen afzonderlijke overeenkomst te zijn, specifieke bepalingen over het verwerken van persoonsgegevens mogen deel uitmaken van een groter geheel aan afspraken (bijvoorbeeld een dienstverleningsovereenkomst of een service level agreement).

Registerplicht

Net als de verwerkingsverantwoordelijke krijgt de verwerker onder de AVGB een registerplicht: de verwerker moet zijn verwerkingsactiviteiten bijhouden in een schriftelijk (waaronder begrepen elektronisch) register. De AVGB somt een aantal specifieke verplichtingen op dat in ieder geval moet worden opgenomen in het register:

1. de naam en contactgegevens van eventuele (sub-)verwerker(s) en van iedere verantwoordelijke voor rekening waarvan de verwerker handelt;
2. indien van toepassing, de naam en contactgegevens van de vertegenwoordiger van verwerker en de functionaris voor de gegevensbescherming (de FG);
3. de categorieën van verwerkingen die voor rekening van verantwoordelijken zijn/worden uitgevoerd;
4. indien van toepassing, of er sprake is van doorgifte van persoonsgegevens aan een land buiten de EU en indien dit het geval is, de vermelding van dit land inclusief de met deze doorgifte gepaard gaande documenten inzake de passende waarborgen (zoals Model Contracts for the transfer of personal data to third countries van de Europese Commissie of Binding Corporate Rules); en
5. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die de verwerker heeft getroffen.

Het register moet desgevraagd worden verstrekt aan de AP.

De registerplicht is niet van toepassing op organisaties die minder dan 250 personen in dienst hebben, tenzij (i) het waarschijnlijk is dat de verwerking een risico inhoudt voor rechten en of vrijheden van de betrokkenen, (ii) de verwerking niet incidenteel is, of (iii) de verwerking bijzondere categorieën van persoonsgegevens bevat. Verwerkers die diensten aanbieden waarbij de verwerking van persoonsgegevens standaard is, zullen geen beroep kunnen doen op deze uitzonderingen, en zullen aldus verplicht zijn tot het opmaken van een schriftelijk verwerkingsregister.

Functionaris voor de gegevensbescherming en meldplicht datalekken

Zodra de AVGB van toepassing is, heeft de verwerker bovendien de volgende verplichtingen:

1. Indien de verwerker een overheidsinstantie of -orgaan is, hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens van strafrechtelijke aard, of hoofdzakelijk is belast met regelmatige en stelselmatige observatie van betrokkenen op grote schaal, dient de verwerker een FG aan te stellen. Een concern dat is gevestigd in meerdere landen, kan in beginsel volstaan met het aanwijzen van één FG. Deze FG moet echter wel in staat zijn om in de lokale taal met de betrokkenen en de bevoegde toezichthouders te communiceren.
2. De verwerker dient de verantwoordelijke - zonder onredelijke vertraging - te informeren zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens (ofwel, een datalek). Op grond van de verwerkersovereenkomst is de verwerker vervolgens verplicht om de verantwoordelijke bijstand te verlenen in haar verplichtingen richting de AP en eventueel de betrokkenen.

Sanctionering en aansprakelijkheid

Toezichthoudende autoriteiten kunnen verwerkers die niet in overeenstemming handelen met AVGB sanctioneren. In geval van grensoverschrijdende verwerkingen is de toezichthoudende autoriteit de autoriteit in de lidstaat waar de verantwoordelijke zijn hoofdvestiging heeft. De bevoegde toezichthoudende autoriteit van de verwerker moet worden beschouwd als betrokken toezichthoudende autoriteit en zal moeten deelnemen aan de in de AVGB vastgestelde samenwerkingsprocedure.

Voor verwerkers die grensoverschrijdend opereren is het aldus van belang om zich ook bewust te zijn van specifieke regelgeving in het land waar de hoofdvestiging van de verantwoordelijke. In Nederland geldt als relevante regelgeving op dit gebied onder andere de Uitvoeringswet AVGB (vooralsnog slechts als concept), het algemene bestuursrecht en (in de praktijk) richtlijnen van de AP.

In geval van inbreuk op (onder andere) artikel 28 AVGB, kunnen administratieve boetes oplopen tot €10 miljoen dan wel (indien dit hoger is) 2% van de totale wereldwijde jaaromzet van de betreffende onderneming. In geval van inbreuk op bepaalde andere artikelen – waar verwerker ook mee te maken heeft – staan administratieve boetes die kunnen oplopen tot €20 miljoen dan wel (indien dit hoger is) 4% van de totale wereldwijde jaarlijkse omzet. In plaats van 'slechts' contractueel aansprakelijk te zijn uit hoofde van een verwerkersovereenkomst (zoals onder de Wbp gebruikelijk is) zijn verwerkers onder de AVGB derhalve rechtstreeks bestuursrechtelijk aansprakelijk voor het niet-nakomen van verplichtingen uit hoofde van de AVGB.

Naast bestuursrechtelijke aansprakelijkheid, kan een verwerker civielrechtelijk aansprakelijk zijn ten opzichte van betrokkenen die schade lijden/hebben geleden als gevolg van het overtreden van de AVGB door de verwerker, tenzij de verwerker kan bewijzen dat de schade hem niet kan worden toegerekend. Het begrip schade moet daarbij ruim worden opgevat op een wijze die ten volle rechtdoet aan de doelstellingen van de AVGB. Indien er meerdere verantwoordelijken en verwerkers betrokken zijn bij dezelfde verwerking, zijn zij jegens de betrokkene ieder aansprakelijk voor de gehele schade en hebben zij een intern regresrecht.

De verwerker vanuit het perspectief van de verantwoordelijke

De verantwoordelijke mag slechts een beroep doen op een verwerker die afdoende garanties met betrekking tot toepassen van passende technische en organisatorische maatregelen biedt. De verwerker moet ervoor instaan dat zijn verwerking aan de AVGB voldoet en dat de bescherming van de rechten van de betrokkenen worden gewaarborgd. Deze verplichting komt overeen met artikel 17 (2) Richtlijn en artikel 14 Wbp.

Voor de verantwoordelijke is het van belang om controle te blijven uitoefenen op de verwerking van verwerkers en de eventuele keten van betrokken sub-verwerkers. De verantwoordelijke blijft immers (eind)verantwoordelijk en is daarmee een aanspreekpunt voor zowel de AP als de betrokkenen.

Op het moment dat de verwerker een andere of sub-verwerker inschakelt, is de verwerker verplicht deze potentiële verwerker ter goedkeuring voor te leggen aan verantwoordelijke. Voor de verantwoordelijke kan dit het moment zijn waarop hij inzage kan eisen in de sub-verwerkersovereenkomst tussen de verwerker en de sub-verwerker en daarin al dan niet noodzakelijke wijzigingen kan aanbrengen.

Het is verder van belang dat de verantwoordelijke in de verwerkersovereenkomst duidelijk de taken van de verwerker formuleert, zodat er geen onzekerheid ontstaat over de rolverdeling tussen beiden. In de praktijk zullen discussies over de verdeling van aansprakelijkheid tussen de verantwoordelijke en de verwerker aan gewicht toenemen. Een verwerker die wordt ingeschakeld voor een relatief kleine verwerking (met bijbehorende beperkte vergoeding), zal niet snel bereid zijn de verantwoordelijke te vrijwaren voor alle mogelijke aanspraken van betrokkenen en boetes van toezichthouders.

Praktische aanbevelingen

Over negen maanden is het dan eindelijk zover: de AVGB wordt van toepassing. Binnen organisaties worden de eerste (baby)stappen in de richting van de implementatie van de vernieuwde privacyregelgeving gezet. Negen maanden lijkt nog lang, maar een goede implementatie kost veel tijd. Voldoen aan de AVGB is niet zo simpel als enkel aanpassen van de privacyverklaring op de website.

Organisaties dienen hun rol in de verschillende processen van gegevensverwerking en de daarbij behorende verantwoordelijkheden en verplichtingen helder voor ogen te hebben. Er zal zorgvuldig geïnventariseerd moeten worden welke partijen betrokken zijn bij de verschillende verwerkingen binnen de organisatie en welke rol zij vervullen. Deze rolverdeling is van invloed op de verantwoordelijkheden die de partij heeft bij de gegevensverwerking en de daarmee gepaard gaande aansprakelijkheid.

Organisaties wordt bovendien aangeraden op korte termijn hun huidige verwerkersovereenkomsten naast de vereisten van artikel 28 AVGB te houden en aan te passen waar nodig.

Overzicht van te behandelen onderwerpen

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.