28 juni 2018

Neutrale inzetbaarheid maakt Standaard Verwerkersovereenkomst van Nederland ICT bijzonder

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), NEDERLAND ICT VOORWAARDEN, VERTROUWEN

Met de komst van de Avg ben je als verwerker verplicht om méér vast te leggen over de omgang met persoonsgegevens dan onder de oude privacywet (Wbp) het geval was. Deze wetsaanpassing vraagt om een aangepaste verwerkersovereenkomst. In de praktijk blijkt dat veel verwerkingsverantwoordelijken dit als kans aangrijpen om eenzijdig alle risico’s naar de verwerker te verleggen. Nederland ICT heeft juist een neutrale standaard geïntroduceerd die bruikbaar is zowel richting klant als richting subverwerker.

Avg wordt helaas ingezet als breekijzer contracten

ICT-leveranciers hebben in de meeste gevallen al een lopend contract met hun klanten en subverwerkers. Met de komst van de Avg blijven deze contracten geldend, en moeten enkel afspraken over de omgang met persoonsgegevens worden vastgelegd in een verwerkersovereenkomst. De afgelopen maanden kregen wij echter van vele leden vragen over de aan hun voorgelegde verwerkersovereenkomsten. Wat blijkt: verantwoordelijken grijpen de Avg aan om de bestaande contractuele relatie open te breken. Zij leggen hun leveranciers een zeer eenzijdige verwerkersovereenkomst op, waarin ze de verwerker op het gebied van privacy overal verantwoordelijk en aansprakelijk voor maken. In veel gevallen willen ze ook alle potentiële boetes bij de ICT-leverancier neerleggen.

Dergelijke risicoverdelingen zijn echter al geregeld in de bestaande overeenkomst en de bijbehorende algemene voorwaarden. Juist in díe overeenkomst horen de juridische risicoverdelingen te worden vastgelegd. De verwerkersovereenkomst is er alleen maar om de onderwerpen die verplicht zijn conform de Avg, daadwerkelijk te regelen. Er is geen enkele reden om de bestaande risicoverdeling te veranderen door de komst van de Avg.

Onze neutrale verwerkersovereenkomst biedt de oplossing

De plicht om een verwerkersovereenkomst te sluiten ligt sinds de Avg duidelijk bij zowel de klant (verwerkingsverantwoordelijke) als de ICT-leverancier (verwerker). Het is daarom een goed idee om als ICT-leveranciers pro-actief een verwerkersovereenkomst aan te bieden aan verantwoordelijken. Op die manier voldoen zij aan de Avg en voorkomen ze dat ze een eenzijdige overeenkomst opgelegd krijgen. De Standaard Verwerkersovereenkomst van Nederland ICT is voor verwerkers een veelzijdige oplossing, want de makers hebben een neutraal modelcontract beoogd. Dat wil zeggen: het contract kan niet alleen gehanteerd worden als een verwerker met een klant in zee gaat, maar ook als een verwerker een subcontractor (subverwerker) in de arm wenst te nemen. Het contract kan beide kanten op gehanteerd worden.

Die insteek is handig, want allerlei complexe juridische onderwerpen, zoals een contractuele regeling over het aansprakelijkheidsrisico en een garantieregeling, moeten elders – dus niet in het verwerkerscontract zelf – geregeld worden. Die onderwerpen regel je bijvoorbeeld in je inkoop- of verkoopvoorwaarden. De verwerkersovereenkomst kan dus goed in combinatie met de veelgebruikte algemene voorwaarden van Nederland ICT gehanteerd worden.

Standaard Verwerkersovereenkomst op basis van Data Pro Code

Onze verwerkersovereenkomst is gebaseerd op onze Data Pro Code; een concrete invulling van de Avg voor verwerkers. Door de code als uitgangspunt te nemen, is de overeenkomst een optimale doorvertaling van de Avg voor deze doelgroep. De overeenkomst is pro-actiever opgesteld dan de vorige bewerkersovereenkomst, wat te zien is in de opbouw van het document. De oude voorbeeldovereenkomst bestond uit een ‘bewerkersovereenkomst’ met ‘bijlage’. De bijlage is naar voren gehaald en heet nu ‘Data Pro Statement’. De standaard juridische clausules uit de ‘bewerkersovereenkomst’ zijn juist naar achteren verplaatst en heten nu ‘Standaardclausules voor verwerkingen’.

In het Data Pro Statement werkt een ICT-leverancier inhoudelijk uit wat voor soort gegevens er verwerkt worden, waarvoor zijn product of dienst bedoeld is en hoe de persoonsgegevens beveiligd zijn. Dit zijn onderwerpen waarover partijen volgens de Avg afspraken moeten maken en die voor iedere leverancier specifiek zijn. Met name op het onderdeel beveiliging is het van belang om zo concreet mogelijk aan te geven hoe je als verwerker je product of dienst beveiligd hebt. Daarnaast gelden de standaardclausules voor verwerkingen, waarin alle algemene onderwerpen zijn opgenomen die op basis van artikel 28 Avg verplicht zijn. Hierin staat bijvoorbeeld dat het aan de verantwoordelijke (mogelijk een tussenverwerker) is om te beoordelen of de beveiliging voldoende is voor zijn specifieke verwerkingen van persoonsgegevens. Dat is volgens de Avg immers ook de verantwoordelijkheid van de verantwoordelijke. Aan de hand van de door de ICT-leverancier geconcretiseerde maatregelen kan hij die beoordeling ook maken. Zo maken partijen gezamenlijk concreet hoe zij invulling geven aan de wettelijke frase dat er ‘passende technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens’ getroffen zijn.

Toon de buitenwereld dat je compliant bent

Met Data Pro willen we ICT-bedrijven helpen om in vijf stappen aantoonbaar compliant te zijn. De verwerkersovereenkomst, bestaande uit het ‘Data Pro Statement’ en ‘Standaardclausules voor verwerkingen’, sluit hier naadloos op aan. Ook als je geen gebruik maakt van de ‘Data Pro’-dienstverlening van Nederland ICT kun je als ICT-leverancier uitstekend gebruikmaken van de verwerkersovereenkomst. Leden kunnen de verwerkersovereenkomst hier downloaden. Niet-leden kunnen hier terecht.

Als verwerker van persoonsgegevens wil je niet alleen zorgen dat je je privacy en security op orde hebt, je wilt dat ook in duidelijke taal aan je klanten en partners laten zien. Vanuit die gedachte heeft Nederland ICT de Data Pro Code ontwikkeld. We willen bedrijven bovendien de mogelijkheid bieden een stap verder te gaan dan compliance, door zich extern te laten certificeren: het Data Pro Certificate. Binnenkort komen we met meer informatie over dit certificaat. Houd hiervoor de Avg Nieuwsbrief in de gaten of laat je als geïnteresseerde op de wachtlijst zetten (zonder verplichtingen), dan nemen we rechtstreeks contact met je op.