Afl. 6 Beoordeel contracten en breng ze in lijn met de AVG

De komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017, de link vindt u onderaan dit artikel. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR).

Aflevering 6, 4 oktober 2017

Als verwerkingsverantwoordelijke bent u verplicht om een verwerkersovereenkomst met uw verwerker te sluiten. Zo mag de verwerking van persoonsgegevens alleen op basis van schriftelijke instructies van de verantwoordelijke. Een verwerkingsverantwoordelijke mag uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden. Daarnaast heeft de verwerker ook uw toestemming nodig voor het inschakelen van een onderaannemer. In de overeenkomst moeten ook de geheimhouding geregeld zijn. Als verwerkingsverantwoordelijke hebt u ook het recht audits te houden bij de verwerker, om te controleren of hij aan zijn verplichtingen voldoet.

Een belangrijk deel van de verwerkingsovereenkomst kan uit standaard bepalingen bestaan. Maar niet alles is standaard. Bepalingen rond de aard van de beveiligingsmaatregelen en een exit regelingen bevatten altijd maatwerk elementen.

Bedenk ook dat het veelal de verwerker is – zoals een clouddienstverlener – die uit “serviceoverwegingen” de verwerkersovereenkomst aanbiedt aan de verwerkingsverantwoordelijke. Logisch want de verwerker zal met alle verwerkingsverantwoordelijke een verwerkersovereenkomst moeten sluiten en hij hanteert dan graag zijn model. De verwerkingsverantwoordelijke moet echter die overeenkomst wel door een privacy deskundige laten toetsen of die minimaal aan de wettelijke eisen voldoet. Dat blijkt regelmatig niet het geval.

Omgekeerd, een veronderstelde verwerker moet goed nagaan of hij wel verwerker is voordat hij een verwerkersovereenkomst tekent. Soms is hij geen verwerker maar (mede) verwerkingsverantwoordelijke. Hij doet dan afstand van belangrijke rechten als hij ten onrechte een verwerkersovereenkomst tekent.

Bij privacy gaat het niet alleen om verwerkersovereenkomsten!

Zo moeten ook arbeidsovereenkomsten worden gecontroleerd en zonodig worden aangepast, overeenkomsten met leveranciers op bijvoorbeeld privacy by design worden ingericht, privacyreglementen worden getoetst en moeten protocollen – zoals hoe te handelen in geval van een beveiligingsincident – worden opgesteld.

Broeseliske Van Vlijmen Advocaten adviseert vanzelfsprekend over alle privacy gerelateerde overeenkomsten. Ook beoordeelt en redigeert zij die contracten.