IT-contracten: Verwerking van persoonsgegevens

Speelt bijna altijd wel

Het onderwerp verwerking van persoonsgegevens speelt bij IT-contracten bijna altijd wel, in meer of mindere mate. ICT wordt immers naar haar aard ingezet voor de geautomatiseerde verwerking van gegevens en veel van die gegevens kwalificeren wel als persoonsgegevens. Van persoonsgegevens is al sprake als een partij beschikt over de middelen om de gegevens te herleiden tot een identificeerbaar individu. Dat kunnen dus zowel gegevens over de eigen medewerkers zijn, als gegevens over klanten of prospects van de organisatie.

Voorvraag: welke rol speelt de leverancier?

We zien rondom het onderwerp privacy regelmatig een reflex van de strekking: “wanneer er persoonsgegevens worden verwerkt, moet een verwerkersovereenkomst worden gesloten”. Dat is echter maar zeer de vraag.

De voorvraag die altijd eerst moet worden gesteld is: welke rol speelt de leverancier? Grosso modo zijn er verschillende antwoorden mogelijk op deze vraag:

1. Geen: de leverancier verwerkt geen persoonsgegevens. Denk hierbij aan de levering van on premise software (hooguit worden dan contactgegevens van de contractant verwerkt).
2. Privacyrechtelijk niet relevant (1): er worden wel persoonsgegevens verwerkt, maar de opdracht ziet daar niet specifiek op. Deze redenering kennen we o.a. van de Handleiding AVG van de regering (het valt overigens te bezien of de redenering stand houdt).
3. Privacyrechtelijk niet relevant (2): er worden wel persoonsgegevens verwerkt, maar de leverancier heeft geen enkele feitelijke beschikkingsmacht. Denk aan automatische en passieve doorgifte in de telecom.
4. Leverancier is verwerker: de leverancier verwerkt gegevens louter in opdracht van de achterliggende klant.
5. Leverancier is verwerkingsverantwoordelijke: in dit scenario verwerkt de leverancier de gegevens voor eigen doeleinden.

Alleen in scenario 4 is het wettelijk verplicht afspraken te maken met de leverancier over de verwerking van persoonsgegevens. Die afspraken worden vaak een “verwerkersovereenkomst” of “verwerkingsovereenkomst” genoemd

In andere situaties zal mogelijk wel overigens getoetst moeten worden aan het privacyrecht of de verwerking is toegestaan. Met name scenario 5, een leverancier die zelf verwerkingsverantwoordelijke is, roept voor de praktijk veel vragen op (maar komt steeds vaker voor!). Het gaat voor deze blog te ver daar nader op in te gaan.

Verwerkersovereenkomst of privacyclausule?

Wanneer de leverancier kwalificeert als verwerker (scenario 4), dan is het op grond van artikel 28 AVG wettelijk verplicht schriftelijke afspraken met de leverancier te maken over de verwerking van persoonsgegevens. De AVG dicteert de onderwerpen die in ieder geval moeten worden vastgelegd. Het staat partijen uiteraard vrij om daarnaast ook andere afspraken te maken (en dat gebeurt ook veelal).

We bevelen ook aan om aanvullende afspraken te maken ten opzichte van de minimale set aan voorwaarden die in de wet wordt genoemd. Zo is het verstandig om vooraf op te helderen of het verlenen van medewerking aan het uitvoeren van een dPIA of het honoreren van rechten van betrokkenen geld kost of niet en zo ja, hoeveel dan. Ook kan het slim zijn op voorhand al afspraken te maken hoe om te gaan met rechterlijke uitspraken en wetswijzigingen.

Nergens in de wet staat dat een verwerkersovereenkomst per se een afzonderlijk document moet zijn. Het staat partijen dus vrij om de afspraken inzake privacy te integreren in een meeromvattend contract. Wel wordt in de praktijk vaak naar een bijlage bij een contract verwezen, in ieder geval voor de uitwerking van de aard en de doeleinden van de verwerking van persoonsgegevens.

Aansprakelijkheid en privacy

Waarschijnlijk uit angst voor boetes zien we de laatste jaren dat er allerhande constructies worden bedacht specifiek rondom de aansprakelijkheid voor de verwerking van persoonsgegevens. Wat me persoonlijk verbaast is dat dit niet gebeurt rondom andere onderwerpen waarvoor ook boetes of zelfs strafvervolging kunnen volgen.

Ik ben geen fan van een afzonderlijk regime van aansprakelijkheid voor de verwerking van persoonsgegevens. Bij verschillende aansprakelijkheidsregimes in één contract kom je immers potentieel in hele lastige afbakeningsdiscussies terecht. Zo is bijvoorbeeld de vraag onder welk regime de schade zou vallen ten gevolge van een datalek dat is veroorzaakt door een fout in de geleverde SaaS-dienst. Is dat primair een gebrekkige levering van (veilige) SaaS-software of primair een onrechtmatige verwerking van persoonsgegevens?

Het is wat mij betreft beter om te zoeken naar een genuanceerd totaalregime van aansprakelijkheid voor de gehele set aan afspraken. Let in dat kader wel goed op, want menige set leveringsvoorwaarden bevat een totale uitsluiting van aansprakelijkheid voor verminking of verlies van data.

Samenhang met de rest

Ook overigens is het van belang de samenhang tussen de afspraken over de verwerking van persoonsgegevens en de overige afspraken goed te bewaken. Zo komt het in de praktijk wel voor dat partijen (waarschijnlijk onbewust) in de verwerkersovereenkomst opeens andere afspraken maken over vergoedingen en prijzen dan in de hoofdovereenkomst. Of zelfs een andere bevoegde rechter aanwijzen dan in de hoofdovereenkomst. Zeker in het laatste geval kom je in een ontzettende complexe discussie, en mogelijk patstelling, uit indien er een keer een ernstig incident speelt.

Voorkom dus dergelijke vaagheden en zorg dat de gemaakte afspraken onderling goed samenhangen.

Leest u vooral ook de andere onderwerpen uit onze serie IT-contracten en blijf het geheel in samenhang bekijken.

• Dwarsdoorsnede van IT-contract
• De definities
• Onderwerp van de overeenkomst
• Levering, implementatie en opleiding
• Acceptatieprocedure
• Onderhoud en beheer (volgens SLA)
• Governance en evaluatie
• Prijs en betaling
• Overmacht 
• Intellectuele eigendom
• Duur en beëindiging
• Gevolgen van de beëindiging/transitie
• Toepasselijk recht en geschillen