Steeds meer organisaties vereisen dat leveranciers en partners waarmee persoonsgegevens worden uitgewisseld een bewerkersovereenkomst sluiten. Regelmatig wordt het ondertekenen van de bewerkersovereenkomst zelfs (min of meer) afgedwongen. Er wordt vaak onvoldoende kritisch gekeken of het wel terecht is dat überhaupt een bewerkersovereenkomst wordt voorgelegd. Dat kan vervelend uitpakken. In deze blog zet ik uiteen waarom.
De bewerkersovereenkomst
Wanneer het verwerken van persoonsgegevens wordt uitbesteed aan een bewerker, dan is het op grond van de wet verplicht met die bewerker een schriftelijke overeenkomst te sluiten (artikel 14 Wbp).
Voorbeeld: het uitbesteden van administratiewerkzaamheden aan een administratiekantoor, het uitbesteden van IT-diensten aan een IT-dienstverlener of het uitbesteden van het uitvoeren van mailings aan een marketingbureau.
Eigenschap bewerker: niet voor eigen doeleinden
De kern van een bewerkersovereenkomst is dat de gegevens alleen in opdracht van de verantwoordelijke mogen worden verwerkt en niet voor eigen doeleinden. Het gaat om uitbestede / gedelegeerde verwerkingsactiviteiten (die een verantwoordelijke ook zelf had kunnen verrichten).
Eigenschap verantwoordelijke: wel voor eigen doeleinden
Daarin verschilt (de rol van) de bewerker ook het meest duidelijk van (de rol van) de verantwoordelijke. De verantwoordelijke verwerkt namelijk de gegevens wel voor eigen doeleinden.
Oftewel, de verantwoordelijke heeft een eigen klantrelatie met de betrokkene, terwijl de bewerker die relatie niet heeft.
Vergelijking bewerker - verantwoordelijke
Schematisch bezien levert dat de volgende, wat grofmazige, vergelijking op.
| verantwoordelijke | bewerker | |
|---|---|---|
| doelen | verwerkt voor eigen doeleinden | verwerkt voor doeleinden opdrachtgever |
| "eigendom" | verwerkt "eigen" gegevens | verwerkt "andermans" gegevens |
| nieuwe initiatieven | kan gegevens voor nieuwe doeleinden verwerken | mag gegevens alleen voor bestaande doeleinden verwerken |
| klantrelatie | heeft klantrelatie met betrokkene | heeft geen klantrelatie met betrokkene |
| aansprakelijkheid | is volledig aansprakelijk voor naleving privacyrecht | is alleen aansprakelijk voor bewerkingshandelingen |
Overigens is de praktijk weerbarstiger dan dit eenvoudige schema. Ter illustratie wijs ik op de opinie van de artikel 29 werkgroep uit 2010 over de begrippen "verantwoordelijke" en "bewerker".
Niet iedere derde partij is een bewerker
In de praktijk zien we dat partijen denken dat met iedere derde partij waarmee persoonsgegevens worden uitgewisseld een bewerkersovereenkomst moet worden gesloten. Dat is niet het geval. Dat is alleen het geval voor zover de betreffende derde partij (deels) kwalificeert als bewerker.
Bij uitwisseling met verantwoordelijke spelen hele andere vragen
Bij de uitwisseling van persoonsgegevens met een partij die kwalificeert als verantwoordelijke, spelen hele andere vragen. Een dergelijke uitwisseling is een "verwerking" die (dus) moet voldoen aan alle eisen die de wet stelt.
Voorbeeld: het doorzenden van gegevens van personeelsleden aan een pensioenfonds, het doorzenden van gegevens aan de leasemaatschappij, het doorzenden van een dossier aan een opvolgend behandelaar, etc.
Er zal dus een grondslag voor de verwerking moeten zijn, de verwerking zal in overeenstemming moeten zijn met het doelbindingsbeginsel, de verwerking zal goed beveiligd moeten zijn en de transparantie zal moeten zijn gewaarborgd. Zie voor de details onze gratis online tool "de privacycheck".
De verschillende vragen in een schema
In de kern komen de verschillende vragen hier op neer (grofweg samengevat).
| Uitwisseling met een verantwoordelijke | Uitwisseling met een bewerker |
|---|---|
|
|
Een verantwoordelijke die een bewerkersovereenkomst sluit zet zich klem
Een partij die kwalificeert als verantwoordelijke, maar desondanks een bewerkersovereenkomst sluit (bijv. onder druk van de wederpartij), zet zichzelf klem. In de bewerkersovereenkomst zegt hij immers toe gegevens niet voor eigen doeleinden te gaan gebruiken, terwijl de kern van de rol van verantwoordelijke nu juist is dat gegevens wel degelijk voor eigen doeleinden worden gebruikt.
Een verantwoordelijke die een bewerkersovereenkomst sluit, sluit dus een overeenkomst waarvan hij weet dat hij deze niet zal (kunnen) nakomen. Dat kan leiden tot ontbinding van de bewerkersovereenkomst en daarmee, wegens samenhang, waarschijnlijk ook tot ontbinding van de hoofdovereenkomst. Zo kan, in theorie in ieder geval, het ondertekenen van het verkeerde privacyrechtelijke contract leiden tot het verlies van contracten. Een bepaald onwenselijk gevolg. Uiteraard valt te bezien of in de praktijk die soep zo heet wordt gegeten, hiervoor is - voor zover mij bekend - nog geen rechtspraak.
Bij wanprestatie bestaat in beginsel ook aanspraak op schadevergoeding. Als vervolgens blijkt dat de betreffende partij geen verhaal biedt, zou dit zelfs tot bestuurdersaansprakelijkheid kunnen leiden. De vraag bij dit alles is overigens wel welke schade er precies is geleden (dat gaat het bestek van deze blog wat te buiten).
Angst voor boetes en claims
De neiging om maar met iedereen bewerkersovereenkomsten te sluiten lijkt voort te komen uit angst voor boetes van de Autoriteit Persoonsgegevens en claims van betrokkenen bij bijvoorbeeld datalekken.
Die angst is bij uitwisseling met een verantwoordelijke grotendeels onterecht. Zowel de verstrekkende als de ontvangende verantwoordelijke is immers zelf - what's in a name - verantwoordelijk voor naleving van de privacywetgeving. Mocht er bij de ontvangende verantwoordelijke een datalek optreden, dan is die partij verantwoordelijk voor dat datalek.
De verstrekkende verantwoordelijke zou met betrekking tot het datalek hooguit een afgeleide aansprakelijkheid kunnen hebben wegens het onvoldoende waarborgen van een zorgvuldige verwerking van persoonsgegevens. Dat is niet ondenkbaar, maar je loopt wel snel aan tegen vragen van onder meer het causaal verband (en de werkbaarheid in de praktijk).
Wel is het uiteraard zo dat de verstrekkende verantwoordelijke aangesproken zou kunnen worden op de verstrekking van persoonsgegevens als zodanig. Als die uitwisseling van persoonsgegevens niet rechtmatig was, dan kunnen daar boetes of claims uit voortvloeien. Dat wordt echter niet opgelost door het sluiten van een bewerkersovereenkomst. Dat wordt opgelost door ervoor te zorgen dat de uitwisseling zelf rechtmatig is (of achterwege gelaten wordt).
Resumerend
Met andere woorden:
- onderteken geen bewerkersovereenkomst als u geen bewerker bent;
- leg geen bewerkersovereenkomsten voor aan partijen die geen bewerker zijn;
- toets de inhoud van de bewerkersovereenkomst alvorens deze te ondertekenen;
- bent u de verzendende partij? Denk dan vooraf na over de hoedanigheid van de ontvangende partij en neem de maatregelen die daarbij horen (zie schema hierboven);
- bent u de ontvangende partij? Toets dan voordat u verder iets met de gegevens doet of de juiste maatregelen zijn genomen (zie schema hierboven);
- let er bij dit alles op dat één partij beide hoedanigheden (verantwoordelijke en bewerker) tegelijkertijd kan hebben (voor verschillende onderdelen van het verwerkingsproces).
Heeft u vragen over het privacyrecht? Naam dan gerust contact op.
