De Europese Commissie heeft onlangs een conceptversie van een model verwerkersovereenkomst gepubliceerd. De komende weken kan een reactie worden gestuurd. In deze blog licht ik er een paar opvallende zaken uit.
Verwerkersovereenkomst bij uitbesteding
Alvorens in te gaan op het door de EC gepubliceerde conceptmodel nog kort het volgende. In de praktijk is er veel discussie over wanneer een verwerkersovereenkomst vereist is. De simpele samenvatting daarvan is: alleen bij de uitbesteding van de verwerking van persoonsgegevens (en neem voor de nuances gerust contact op).
Bij andere vormen van doorgifte van persoonsgegevens aan een derde partij is geen verwerkersovereenkomst vereist (maar kan het wel verstandig zijn ook dan nadere afspraken te maken). Zie over dit onderscheid de eerdere blog over de verschillende vormen van afspraken bij uitwisseling van persoonsgegevens.
Model verwerkersovereenkomst vereenvoudigt onderhandelingen
In de praktijk wordt er veel onderhandeld over de inhoud van verwerkersovereenkomsten. Het gegeven dat de EC nu een model publiceert, kan die onderhandelingen aanmerkelijk vereenvoudigen. Het ligt immers voor de hand dat partijen zullen terugvallen op dit generieke model en onderhandelingen laten voor wat het is. Overigens is het ook weer niet de bedoeling dat de onderhandelingen zich beperken tot "knippen en plakken"; er zal het nodige moeten worden ingevuld en bovendien verlangt ook de Autoriteit Persoonsgegevens dat een overeenkomst wel toeziet op de specifieke situatie.
Inhoudelijke opmerkingen
Kijkend naar het concept model, vallen me een paar zaken op:
- Generiek model voor meer regimes. Het model is bedoeld voor zowel de AVG/GDPR als de Unieverordening inzake de verwerking van persoonsgegevens.
- Veel standaardtekst. Veel van de tekst lijkt 1-op-1 op de AVG te komen. In hoofdlijnen lijkt hier dus niet veel extra invulling aan gegeven.
- Niet afwijken, wel aanvullen. Er mag niet, ook niet aanvullende clausules, worden afgeweken van het model. Wel mogen aanvullende afspraken worden gemaakt (zolang ze maar niet afwijken van de andere afspraken).
- Partij die audit initieert betaalt deze. In de praktijk is regelmatig discussie over de kosten voor audits. In het model van de EC is een simpele benadering gekozen: de partij die de audit initieert betaalt deze ook. Indien uit de audit volgt dat er sprake is van een tekortkoming, is de vraag of niet redelijker is dat in dat geval de tekortschietende partij betaalt (vgl. artikel 6:96 BW).
- Extra maatregelen bij bijzondere persoonsgegevens. Indien er bijzondere persoonsgegevens worden verwerkt, dan dient in een separate bijlage te worden aangegeven welke extra (beveiligings)maatregelen er worden getroffen. De vraag is of dat pragmatisch is en of het niet logischer is de beveiligingsmaatregelen holistischer te zien (al was het maar omdat er ook persoonsgegevens van risicovolle aard zijn die niet in deze categorie vallen).
- Ruimte voor blanco volmacht subprocessors. Het model laat ruimte voor een soort blanco volmacht om andere subverwerkers in te schakelen. Dit is iets waar in de praktijk veel behoefte aan bestaat. Tegelijkertijd is wel lastig dat het model ervan uitgaat dat op de subverwerker dan exact dezelfde verplichtingen komen te rusten. Dat is bij gebruik van meer generieke (cloud)diensten vaak niet werkbaar (terwijl dat niet wil zeggen dat dit onveilig zou zijn).
- Medewerking verplichtingen verantwoordelijke. De verplichting voor de verwerker om de verwerkingsverantwoordelijke te ondersteunen in de nakoming van op hem rustende verplichtingen is wat wollig omschreven. De vele denkbare plichten die op de verwerkingsverantwoordelijke rusten worden stuk voor stuk genoemd. De vraag is of dat niet wat meer generiek en abstract beschreven zou kunnen worden.
- Vooraf informatieplicht datalekken vastleggen. In lijn hiermee valt ook op dat partijen volgens het model vooraf zouden moeten vastleggen welke informatie de verwerker moet aanleveren bij een datalek. De vraag is of dat zo limitatief te beschrijven is en of het niet verstandiger is hier een open norm te hanteren als "alle alsdan redelijkerwijs relevante informatie".
- Specifiek beëindigingsregime. Het model gaat er vanuit dat de verwerkersovereenkomst als zodanig kan worden beëindigd bij niet-naleving. Dat is op zichzelf logisch, doch de samenhang met de (bovenliggende) overeenkomst waarin de eigenlijke dienstverlening staat beschreven is niet geadresseerd. Het verdient aanbeveling dat te verhelderen, al was het maar om een soort patstelling te voorkomen (zij het dat in dat geval vermoedelijk moet worden aangenomen dat nakoming blijvend onmogelijk is geworden).
Vier weken reactietijd
Iedere partij die veel verwerkers inschakelt of zelf veel de verwerkersrol vervult doet er goed aan dit document te bestuderen. Dit kon namelijk wel eens de facto de nieuwe standaard worden.
Er kan tot 10 december 2020 op dit concept worden gereageerd. Eventuele op- en aanmerkingen dienen uiterlijk middernacht Brusselse tijd binnen te zijn bij de EC.
Vragen, opmerkingen?
Mocht u hierover vragen of opmerkingen hebben of graag zien dat we namens u reageren, dan hoor ik graag.