Derde die andermans persoonsgegevens verwerkt = bewerker
Artikel 14 van de Wet bescherming persoonsgegevens (Wbp) bevat regels over het uitbesteden van de verwerking van persoonsgegevens aan een derde. Zo'n derde partij wordt in de wet een "bewerker" genoemd, mits deze de gegevens niet voor eigen doeleinden gebruikt (hetgeen bij uitbesteding vaak niet speelt).
Eisen bewerkersovereenkomst Autoriteit Persoonsgegevens
De wet verplicht dat bepaalde afspraken tussen de uitbestedende partij en de bewerker schriftelijk worden vastgelegd. Vrij vertaald wordt vaak gezegd dat de wet verplicht dat er een bewerkersovereenkomst is.
De Autoriteit Persoonsgegevens stelt in het recente persbericht dat een bewerkersovereenkomst aan de volgende eisen moet voldoen:
Een bewerkersovereenkomst moet aan een aantal minimumeisen voldoen:
- De overeenkomst moet specifiek gaan over de gegevensverwerking door de bewerker.
- De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen.
- In de overeenkomst moet staan hoe de verantwoordelijke kan toezien op de naleving van de waarborgen.
- De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
- Als er sprake is van subbewerkerschap, moeten ook daarover bepalingen in de overeenkomst worden opgenomen.
Wettelijke eisen bewerkersovereenkomst
Laten we eerst eens in de wet kijken om te zien welke eisen aan een bewerkersovereenkomst worden gesteld.
Bepaalde afspraken tussen de uitbestedende partij en de bewerker moeten volgens lid 5 van artikel 14 Wbp schriftelijk worden vastgelegd. Het betreft de afspraken met betrekking tot:
- de bescherming van persoonsgegevens;
- de beveiligingsmaatregelen;
- de naleving van de meldplicht datalekken.
Zie aldus letterlijk de tekst van de wet:
5 Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, de beveiligingsmaatregelen, bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt, schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.
Verder bepaalt lid 3 van artikel 14 Wbp dat de verantwoordelijke er voor moet zorgen dat de bewerker de geheimhoudingsverplichting naleeft. Je zou kunnen zeggen dat ook geheimhouding wettelijk verplicht in een bewerkersovereenkomst thuishoort.
Lid 1 van artikel 14 Wbp bepaalt dat er door de verantwoordelijke moet worden toegezien op de naleving van de overeengekomen maatregelen. Het is daarom verstandig uitdrukkelijke afspraken te maken over controle en toezicht (hoewel dat wellicht al in de instructiebevoegdheid van de opdrachtgever ex. artikel 7:402 BW besloten ligt).
Dat zijn zo'n beetje de eisen die wet stelt aan een bewerkersovereenkomst.
Eis afzonderlijk document in toelichting
Toch komt de eis dat een bewerkersovereenkomst als een afzonderlijk document is niet helemaal uit de lucht vallen. In de Memorie van Toelichting bij de wet is namelijk het volgende te lezen:
De overeenkomst tussen de verantwoordelijke en de bewerker moet naar zijn aard betrekking hebben op de gegevensverwerking. Het contract mag niet betrekking hebben op een vorm van dienstverlening waar de gegevensverwerking slechts een uitvloeisel van is. Het tweede en derde lid kunnen tot consequentie hebben dat lopende contracten en andere rechtsverhoudingen als in dit artikel bedoeld, herziening behoeven.
Waar deze opmerking vandaan komt, is mij volstrekt onduidelijk.
Het lijkt mij (juridisch-technisch) volstrekt irrelevant of partijen nu één overeenkomst sluiten waarin twee onderwerpen zijn geregeld (dienstverlening en privacy), of twee overeenkomsten waarin steeds één onderwerp is geregeld (dienstverlening en privacy).
Wat maakt het nu uit of de afspraken in één of twee documenten zijn vastgelegd? En welk privacybelang is ermee gediend dat de afspraken in een afzonderlijke overeenkomst worden vastgelegd?
Dat laat overigens onverlet dat het strategisch soms handig kan zijn om contracten op te splitsen in meerdere documenten (en zo wijzigingen gemakkelijker door te kunnen voeren, selectief te kunnen zijn welke contracten met derden gedeeld worden en welke niet, etc.). Juridisch-inhoudelijk maakt het voor de vraag wat er is afgesproken echter niets uit.
Privacyrichtlijn stelt de eis ook niet
Daar komt nog eens bij dat de privacyrichtlijn de eis ook niet stelt.
De Wbp is gebaseerd op de privacyrichtlijn. De wet moet dan ook overeenkomstig de richtlijn worden uitgelegd, al was het maar omdat de Nederlandse regering blijkens de toelichting ook niet bedoeld heeft van de richtlijn af te wijken (en als dat wel zou zijn, dit haaks zou staan op rechtspraak van het Hof van Justitie die juist een uniform privacyrecht benadrukt).
De eis een bewerkersovereenkomst te hebben, komt rechtstreeks uit de richtlijn. Dit staat - veel gemakkelijker leesbaar dan in de Nederlandse wet - in artikel 17, specifiek de leden 3 en 4:
3. De uitvoering van verwerkingen door een verwerker moet worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verwerker verantwoordelijke en waarin met name wordt bepaald dat
- de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke,
- de in lid 1 bedoelde verplichtingen, zoals gedefinieerd door de wetgeving van de Lid-Staat waarin de verwerker is gevestigd, eveneens op deze persoon rusten.
4. Met het oog op de bewaring van de bewijzen, worden de elementen van de overeenkomst of rechtsakte betreffende de bescherming van de gegevens en de vereisten inzake de in lid 1 bedoelde maatregelen schriftelijk of in een gelijkwaardige vorm vastgelegd.
Het eerste lid waar in deze passage enkele keren naar wordt verwezen bepaalt dat persoonsgegevens op passende wijze moeten worden beveiligd.
De richtlijn eist dus slechts dat er een overeenkomst is. Niet dat er een afzonderlijk document is met afspraken over de verwerking van persoonsgegevens.
Hof van Justitie stelt de eis niet
Een ander argument is dat het Hof van Justitie de eis niet lijkt te stellen. Het Hof is, gelet op de Europese herkomst van het privacyrecht, de hoogste rechter op dit vlak.
Procedures over de bewerkersovereenkomst uit de privacyrichtlijn zijn me niet bekend. Wel is er een procedure over uit het telecommunicatierecht, die gaat over de uitbesteding van de verwerking van verkeersgegevens (Probst / Mr. NexNet).
In die (telecomrechtelijke) procedure trekt het Hof van Justitie zelf de parallel met het algemene privacyrecht, door te signaleren dat de telecomrichtlijn eisen stelt die vergelijkbaar zijn met eisen die aan bewerker worden gesteld en dat de richtlijnen op vergelijkbare wijze moeten worden uitgelegd:
25 Artikel 6, lid 5, van richtlijn 2002/58 moet dus worden uitgelegd tegen de achtergrond van vergelijkbare bepalingen van richtlijn 95/46. Blijkens de artikelen 16 en 17 van die laatste richtlijn, die het niveau preciseren van de controle die een voor de verwerking verantwoordelijke persoon moet uitoefenen over de door hem aangestelde verwerker, handelt die laatste uitsluitend in opdracht van de voor de verwerking verantwoordelijke persoon, die ervoor zorgt dat de overeengekomen maatregelen ter bescherming van de persoonsgegevens tegen elke vorm van onwettige verwerking worden nageleefd.
Vervolgens concludeert het Hof dat het irrelevant is hoe een overeenkomst genoemd wordt en in welke vorm deze is opgemaakt, zolang deze maar bepalingen omtrent de uitbesteding van de verwerking van verkeersgegevens:
30 Ongeacht de kwalificatie van de cessieovereenkomst wordt de cessionaris geacht te handelen onder het gezag van de dienstenaanbieder in de zin van artikel 6, lid 5, van richtlijn 2002/58, wanneer hij voor de verwerking van verkeersgegevens handelt in uitsluitende opdracht en onder toezicht van die aanbieder. In het bijzonder moet hun overeenkomst bepalingen bevatten die de wettige verwerking van de verkeersgegevens door de cessionaris waarborgen en de dienstenaanbieder de mogelijkheid bieden zich op elk ogenblik ervan te vergewissen dat de betrokken cessionaris die bepalingen naleeft.
Opvallend is dat het Hof van Justitie niet benadrukt dat een bewerkersovereenkomst een afzonderlijke overeenkomst zijn. Sterker nog, het Hof benadrukt juist dat de naam van het document irrelevant is ("ongeacht de kwalificatie van de overeenkomst") en dat de vorm ook niet belangrijk is (..."overeenkomst moet bepalingen bevatten...").
Afzonderlijk document belemmert vrije verkeer van diensten
Bovendien; wanneer Nederland zwaardere eisen zou stellen aan de uitbesteding van de verwerking van persoonsgegevens dan andere landen in de EU, dan komt dit de vrijheid van diensten niet ten goede. Immers, waar in andere EU-landen wellicht standaardcontracten van een IT-leverancier wel worden geaccepteerd, wordt in Nederland een afzonderlijke bewerkersovereenkomst vereist.
Dat vormt daarmee een belemmering voor de buitenlandse dienstverlener om de Nederlandse markt te betreden. De facto worden er hierdoor immers zwaardere eisen in Nederland aan de dienstverlening gesteld dan in andere landen van de EU. Dit staat op gespannen voet met een van de doelstellingen van de privacyrichtlijn, zoals die in de considerans is te lezen:
(3) Overwegende dat er voor de totstandbrenging en de werking van de interne markt, waarin volgens artikel 7 A van het Verdrag het vrije verkeer van goederen, personen, diensten en kapitaal is gewaarborgd, niet alleen verkeer van persoonsgegevens van de ene Lid-Staat naar de andere mogelijk moet zijn, maar dat ook de fundamentele rechten van personen moeten worden beschermd;
(...)
(9) Overwegende dat de Lid-Staten, wegens de gelijkwaardige bescherming die voortvloeit uit de onderlinge aanpassing van de nationale wetgevingen, het vrije verkeer van persoonsgegevens tussen de Lid-Staten niet langer mogen belemmeren om redenen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen, met name het recht op persoonlijke levenssfeer;
Dit argument geldt te meer indien de Autoriteit Persoonsgegevens er een andere interpretatie op nahoudt dan de andere toezichthouders in de EU.
WP29 lijkt eis ook niet te stellen
Opvallend in dat kader is dat de verenigde toezichthouders (WP29) de eis van een afzonderlijke overeenkomst ook niet lijken te stellen.
Zo spreekt de opinie over cloud computing in par. 3.4.2 eenvoudigweg over de eis dat afspraken over de verwerking van persoonsgegevens worden vastgelegd "in een overeenkomst of andere bindende rechtsakte". Op het slot van de alinea wordt zelfs gewaarschuwd geen "contractbepalingen te accepteren die niet in overeenstemming met de wetgeving voor gegevensbescherming zijn". Er staat echter niet dat er een separate bewerkersovereenkomst moet zijn gesloten.
In de opinie over de verantwoordelijke en de bewerker wordt ook expliciet gesproken over standaardcontracten voor bepaalde vormen van dienstverlening. Ook hier geen enkel signaal dat dergelijke (geintegreerde) standaardcontracten in strijd met het privacyrecht zijn. Er wordt alleen (en terecht) gewaarschuwd dat wel goed moet worden getoetst of de bepalingen uit de standaardcontracten privacyrechtelijk correct zijn (en natuurlijk ook overigens een redelijke weergave zijn van de belangen der partijen):
In dit verband moet worden opgemerkt dat in veel gevallen dienstverleners die zijn gespecialiseerd in bepaalde vormen van gegevensverwerking (bijvoorbeeld de uitbetaling van salarissen) standaarddiensten en -contracten zullen opstellen die door de voor de verwerking verantwoordelijke moeten worden ondertekend, waardoor in feite een bepaalde standaardwijze ontstaat voor de verwerking van persoonsgegevens. Het feit echter dat het contract met zijn nauwkeurig omschreven bepalingen door de dienstverlener wordt opgesteld, en niet door de voor de verwerking verantwoordelijke, is op zichzelf nog onvoldoende reden om te concluderen dat de dienstverlener als een voor de verwerking verantwoordelijke moet worden beschouwd, omdat de voor de verwerking verantwoordelijke uit vrije wil heeft ingestemd met de contractbepalingen en er daarmee de volledige verantwoordelijkheid voor aanvaardt.
Zo behoort ook de onevenwichtigheid in de contractuele macht van een kleine voor de verwerking verantwoordelijke ten opzichten van grote dienstverleners niet te worden beschouwd als een rechtvaardiging voor de voor de verwerking verantwoordelijke om contractbepalingen te accepteren die niet in overeenstemming met de wetgeving voor gegevensbescherming zijn.
Opnieuw geen enkele opmerking dat een bewerkersovereenkomst een afzonderlijk document zou moeten zijn.
Conclusie
Uit het voorgaande volgt dat er m.i. wel het een en ander is af te dingen op de eis van de toezichthouder dat een bewerkersovereenkomst een afzonderlijk document is. Resumerend:
- de wet stelt de eis niet;
- de privacyrichtlijn stelt de eis niet;
- het Hof van Justitie lijkt de eis ook niet te stellen;
- de toezichthouders in verenigd verband lijken de eis niet te stelen;
- de toelichting bij de wet noemt de eis, maar de herkomst hiervan is onduidelijk;
- de juridische meerwaarde / het juridisch verschil van een afzonderlijk document is onduidelijk;
- onduidelijk is welk privacybelang er gediend zou zijn met het opsplitsen van contracten;
- de eis staat op gespannen voet met de vrijheid van diensten, aangezien deze buitenlandse dienstaanbieders benadeelt.
We zullen zien of de AP het standpunt over de bewerkersovereenkomst dusdanig belangrijk vindt dat ze op dit punt zal gaan handhaven. In dat geval ben ik zeer benieuwd hoe (uiteindelijk) de rechter over de tegenargumenten denkt. Mocht u in een dergelijke discussie met de toezichthouder (of een wederpartij) belanden, dan zijn we u graag verder van dienst. Neem dan contact met ons op.
