Huidige situatie
Zoals ik in mijn vorige bericht uiteen heb gezet kan de toezichthouder onder de huidige wetgeving geen boete opleggen wegens het ontbreken van een bewerkersovereenkomst. Wel kan een (stevige) last onder dwangsom worden opgelegd. Er is dus ook nu al een goede reden om alleen met goede bewerkersovereenkomsten te werken.
Komende situatie
Over iets minder dan twee jaar wordt de privacyverordening van kracht. Net als de huidige wetgeving, schrijft ook de verordening het gebruik van bewerkersovereenkomsten voor bij het uitbesteden van de verwerking van persoonsgegevens.
In grote lijnen zijn echter twee zaken anders:
- de nieuwe regels zijn veel concreter over de inhoud van een bewerkersovereenkomst;
- de nieuwe regels stellen boetes op het niet hebben van een bewerkersovereenkomst.
Ik zal bij deze twee aspecten hierna kort stil staan.
Concretere eisen aan bewerkersovereenkomst
In artikel 28 lid 3 van de verordening staan de eisen die aan een bewerkersovereenkomst worden gesteld. De overeenkomst moet bepalen dat de verwerker (in mijn samenvatting):
- de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij de bewerker zelf wettelijk verplicht is andere verwerkingen uit te voeren;
- de vertrouwelijkheid waarborgt;
- de beveiligingsverplichtingen van de verantwoordelijke nakomt;
- alleen maar een sub-bewerker inschakelt op basis van:
- een specifieke instemming van de verantwoordelijke; of
- een voorafgaande algemene instemming, gevolgd door specifieke informatie en de mogelijkheid van opt-out zodra een specifieke sub-bewerker in beeld komt;
- de verantwoordelijke zo nodig ondersteunt bij de afhandeling van een datalek;
- de verantwoordelijke zo nodig ondersteunt bij het uitvoeren van een gegevensbeschermingseffectbeoordeling en het vooraf raadplegen van de toezichthouder;
- persoonsgegevens bij het einde van de overeenkomst vernietigt of retourneert, tenzij bewaren wettelijk verplicht is;
- audits en andere manieren om naleving van de wet aan te kunnen tonen mogelijk maakt.
Verder bepaalt lid 9 van het artikel dat de overeenkomst schriftelijk of in elektronische vorm moet zijn vastgelegd.
Het eerste lid van artikel 28 bepaalt dat een verantwoordelijke algemeen zeker moet stellen dat een bewerker "afdoende garanties" biedt om aan de beveiligingseisen en de beschermen van de rechten van de betrokkene te kunnen voldoen. Dit wordt waarschijnlijk een standaard ontbindingsbepaling in bewerkersovereenkomsten: zodra de garantie wegvalt, zullen verantwoordelijken van hun contract af willen kunnen.
Hoge boetes
In artikel 83 staan de algemene regels voor boetes. In lid 4 van de bepaling staat dat op overtreding van o.a. artikel 28 (over de bewerkersovereenkomst) een boete staat van maximaal 10.000.000 euro (10 miljoen euro) of 2% van de wereldwijde omzet. De (maximale) boete op het niet hebben van een bewerkersovereenkomst gaat dus flink omhoog.
In lid 2 van hetzelfde artikel staat overigens wel dat bij het opleggen van boetes rekening gehouden moet worden met een hele ijst van daar genoemde omstandigheden. Ik vat het maar even samen als dat alle omstandigheden van het geval relevant zijn om de hoogte van de boete te bepalen.
Opvallend is dat onder de privacyverordening opzet niet vereist is voor het opleggen van een boete. Onder de verordening is "de opzettelijke of nalatige aard van de inbreuk" slechts één van de vele factoren die van invloed is op de hoogte van de boete. Onder de huidige Nederlandse is die opzet juist wel een vereiste, mede vanwege de vele open normen in de wetgeving. Kennelijk vindt de Europese wetgever die open normen minder problematisch (wellicht wel omdat er toch ook aan algemene beginselen uit o.m. het Handvest moet worden getoetst).
Modelovereenkomsten op komst
Voor de praktijk is verder interessant om te signaleren dat er waarschijnlijk model bewerkersovereenkomsten aan zullen gaan komen. In de leden 7 en 8 van artikel 28 is namelijk bepaald dat respectievelijk de Europese Commissie en een toezichthoudende autoriteit standaardbepalingen kunnen opstellen overeenkomstig een bepaalde procedure.
Er gaan dus vermoedelijk op een gegeven moment standaardclausules of zelfs standaardovereenkomsten circuleren. Wanneer die worden gebruikt, en nageleefd, zitten partijen zeker aan de goede kant van de streep. Dit zal dus transactiekostenverlagend gaan werken.
De vraag is wel hoe streng die standaardclausules in de praktijk zullen zijn. Wanneer ze zo streng zijn dat leveranciers deze niet accepteren, dan neemt de onzekerheid in de markt juist alleen maar toe. Immers, indien een leverancier een goedgekeurde clausule weigert te gebruiken, moet de afnemer er dan rekening mee houden dat de wel gebruikte clausule van de leverancier (dus) onvoldoende is? Dat is vermoedelijk iets te kort door de bocht, maar dergelijke vragen zullen wel gaan opspelen. Het is voor de praktijk te hopen dat dergelijke onzekerheid zo snel mogelijk wordt weggenomen, om zo te voorkomen dat privacyrecht een deal breaker wordt.
Bewerker die over de schreef gaat is flink de sjaak
Ten slotte wijs ik nog op het volgende. Een verwerker (bewerker) die zich niet houdt aan de voorwaarden van de verordening, en zelf gaat bepalen wat hij met de verwerkte persoonsgegevens gaat doen, is potentieel behoorlijk de sigaar. Die verwerker kan namelijk:
- boetes krijgen omdat hij zich niet houdt aan de voorwaarden voor verwerkers (max.10 miljoen)
- boetes krijgen omdat hij vermoed wordt verantwoordelijke te zijn (artikel 28 lid 10) en zich niet aan de voorwaarden voor verantwoordelijken houdt (max. 20 miljoen);
- aansprakelijk zijn jegens de verantwoordelijke wegens het tekortschieten in de nakoming van de bewerkersovereenkomst; (de vraag is wel wat de schade dan precies is en in hoeverre deze contractueel beperkt is);
- aansprakelijk jegens de betrokkene wegens het onrechtmatig verwerken van persoonsgegevens (zie artikel 82; de vraag is wel wat de schade dan is, doch een begrenzing zal bij consumenten lastig liggen);
- waarschijnlijk door andere verantwoordelijken niet langer worden ingeschakeld, omdat zij niet langer zeker zijn dat de verwerker "afdoende garanties" biedt (artikel 28 lid 1).
Conclusie
Of u nu als verantwoordelijke of als bewerker optreedt, het is van groot belang dat u zowel nu als straks een goede bewerkersovereenkomst heeft. Begin hier op tijd mee, de twee jaar tot aan de inwerkingtreding van de verordening zijn zo voorbij. Er is bovendien niets op tegen om nu al in bestaande bewerkersovereenkomsten te anticiperen op de verordening. Heeft u vragen hierover? Neem dan contact met ons op.