Verplichte bewerkersovereenkomst bij uitbesteding
Zodra uw leverancier komt te beschikken over persoonsgegevens waarvoor u als organisatie verantwoordelijk bent, bent u op grond van de wet verplicht een bewerkersovereenkomst met die leverancier te sluiten (artikel 14 Wbp). Dit is bijvoorbeeld het geval bij cloud computing, het gebruik van dienstverlening waarbij software waarmee persoonsgegevens worden verwerkt via internet wordt aangeboden (ASP) of bij gebruik van externe boekhouders of marketingbureaus.
Inhoud bewerkersovereenkomst
In die bewerkersovereenkomst maakt u in ieder geval de wettelijke verplichte afspraken over het deugdelijk beveiligen en geheimhouden van de gegevens en de omgang met datalakken.
Het is daarnaast verstandig afspraken te maken over zaken als de teruggave van de gegevens bij het einde van de overeenkomst en over het al dan niet mogen betrekken van derde partijen bij de dienstverlening. In een andere blog ben ik al eens ingegaan op die nadere eisen.
Het overall doel van een bewerkersovereenkomst is dat u in controle blijft over de persoonsgegevens waarvoor u verantwoordelijk bent.
Nieuwe hausse aan bewerkersovereenkomsten sinds 2016
Veel organisaties realiseren zich nu pas, bijna 15,5 jaar na de inwerkingtreding van de Wet bescherming persoonsgegevens (Wbp), dat het verplicht is bij uitbesteding een bewerkersovereenkomst te sluiten. Dit wordt vermoedelijk veroorzaakt door de introductie van de boetebevoegdheid van de Autoriteit Persoonsgegevens per 1 januari 2016.
Saillant detail daarbij is overigens wel dat op het niet hebben van een bewerkersovereenkomst nu juist geen boete staat. Onder de privacyverordening is dat weer wel het geval. De privacyverordening stelt ook veel verder strekkende eisen aan een bewerkersovereenkomst.
Veel onderhandelingen over bewerkersovereenkomsten
Er gaan dan ook sinds de aanloop naar 1 januari 2016 allerlei bewerkersovereenkomsten rond. Zowel afnemers als leveranciers werken daarbij met eigen modellen.
Grosso modo geldt hierbij dat een eenvoudige tweedeling is te maken:
- afnemers willen dat hun model bewerkersovereenkomst wordt gebruikt, omdat het immers hun persoonsgegevens betreft en zij ook verantwoordelijk en aansprakelijk zijn als het misgaat;
- leveranciers willen dan hun model bewerkersovereenkomst wordt gebruikt, omdat het voor hen in praktische zin onwerkbaar is om even zoveel verschillende afspraken over beveiliging, geheimhouding, etc. te maken als dat er klanten zijn.
Beide perspectieven bevatten een kern van waarheid. De kunst is dan ook bij onderhandelingen over de bewerkersovereenkomst in een redelijk midden uit te komen.
Belangrijke valkuil bij een model van een leverancier
Er zijn echter enkele belangrijke valkuilen waar afnemers op moeten letten bij het accepteren van bewerkersovereenkomsten van leveranciers. Deze hebben allebei te maken met het gegeven dat een bewerkersovereenkomst van een leverancier vaak niet los kan worden gezien van het bestaande contract.
1. Bewerkersovereenkomst als addendum
Veel bewerkersovereenkomsten van leveranciers zijn vormgegeven als addendum bij het bestaande contract. Dat wil zeggen dat voor alle situaties/aspecten die niet in de bewerkersovereenkomst zijn geregeld, het bestaande contract geldt.
Op het bestaande contract zijn vaak algemene voorwaarden van toepassing verklaard. Veel IT-leveranciers gebruiken de ICT~Office voorwaarden uit 2008 of de Nederland ICT voorwaarden uit 2014. Ook veel eigen voorwaarden van leveranciers zijn op deze sets voorwaarden gebaseerd (of een volledige kopie daarvan).
In beide sets voorwaarden wordt de aansprakelijkheid voor verlies of verminking van gegevens volledig uitgesloten. Zie de hierna volgende citaten:
ICT~Office 2008
12.3 (...) Eveneens is uitgesloten de aansprakelijkheid van leverancier wegens verminking, vernietiging of verlies van gegevens of documenten.
Nederland ICT 2014
16.3 (...) Eveneens is uitgesloten de aansprakelijkheid van leverancier verband houdende met verminking, vernietiging of verlies van gegevens of documenten.
Naar mijn idee wordt hiermee de kern van een bewerkersovereenkomst, een deugdelijke en veilige verwerking van persoonsgegevens, ondermijnd. Als puntje bij paaltje komt is de leverancier immers niet verantwoordelijkheid voor verlies of verminking van de gegevens.
Opmerkelijk is dat in de 2014 versie de woorden "aansprakelijkheid (...) verband houdende met" worden gebruikt in plaats van het woord "wegens" uit de 2008 versie. Verband houden met klinkt ruimer als "wegens". Mogelijk dat dit ook betekent dat bijvoorbeeld door de Autoriteit Persoonsgegevens opgelegde boetes niet op de leverancier kunnen worden verhaald (ook al houden die boetes verband met gedrag van de leverancier).
Ook overigens beperken beide sets voorwaarden de rol en verantwoordelijkheid van de leverancier zeer sterk. Het is daarmee maar zeer de vraag of een incident rond verminking of verlies van gegevens wel als tekortkoming kwalificeert (waardoor je helemaal niet aan de beperking van aansprakelijkheid toekomt). Afnemers zouden überhaupt deze algemene voorwaarden niet zomaar moeten accepteren.
2. Hoofdovereenkomst prevaleert op addendum
Een ander valkuil is dat sommige leveranciers in de bewerkersovereenkomst opschrijven dat de bestaande overeenkomst voorgaat op de bewerkersovereenkomst.
Daarmee wordt afbreuk gedaan aan de bewerkersovereenkomst. Een dergelijke clausule schrijf je immers alleen maar op als er in de hoofdovereenkomst kennelijk iets afwijkends staat.
Met een dergelijke bewerkersovereenkomst moet nooit worden ingestemd zonder die hoofdovereenkomst ook te toetsen. Daarbij zal ook moeten worden gelet op beperkingen van aansprakelijkheid (zie hiervoor).
Resume: teken niet blind een bewerkersovereenkomst
Resumerend:
- u kunt best een model bewerkersovereenkomst van een leverancier gebruiken, maar let wel altijd goed op;
- teken bewerkersovereenkomsten nooit blind;
- een bewerkersovereenkomst onder de ICT~Office voorwaarden of de Nederland ICT voorwaarden heeft maar betrekkelijk waarde;
- toets altijd of door de leverancier veroorzaakte schade en vanwege gedrag van de leverancier opgelegde boetes wel (binnen bepaalde redelijke kaders) op de leverancier te verhalen zijn;
- anticipeer op de eisen die de privacyverordening aan de bewerkersovereenkomst stelt als de samenwerking langer duurt dan tot 25 mei 2018.
Heeft u advies nodig bij het beoordelen van een bewerkersovereenkomst? Of heeft u andere vragen over het privacyrecht? Neem dan contact met mij op.
Mark Jansen
advocaat IT- en privacyrecht
m.jansen@dirkzwager.nl
