Contracten en de AVG: wanneer is het sluiten van een overeenkomst noodzakelijk?

  • event28-01-2021
  • schedule09:00
  • timer1 minuut

Op 28 januari 2021 is het de dag van de privacy. Een dag die door de Raad van Europa in het leven is geroepen om Europese burgers te informeren over de vraagstukken die spelen op het gebied van privacy. Privacy is echter geen onderwerp dat uitsluitend particulieren treft. In de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), wordt namelijk de verantwoordelijkheid gelegd bij de organisaties die de persoonsgegevens verwerken voor hun eigen doeleinden (de verwerkingsverantwoordelijken). Zij dienen te voldoen aan de voorwaarden die worden genoemd in de AVG. Om deze reden is de dag van de privacy tevens een gelegenheid om organisaties te informeren over een van de meest gestelde vragen in de praktijk: wanneer dient er een overeenkomst gesloten te worden? In de AVG zijn er twee soorten overeenkomsten te onderscheiden: de ‘verwerkersovereenkomst’ en de ‘overeenkomst gezamenlijke verwerkingsverantwoordelijken’. Hieronder zal worden toegelicht wanneer deze overeenkomsten gesloten dienen te worden.

De rol van de betrokken partijen
Volgens de AVG kan een partij verschillende rollen hebben bij het verwerken van persoonsgegevens. De rol die de partijen aannemen is van belang om te bepalen of er een overeenkomst gesloten moet worden en zo ja, welke soort overeenkomst. Een partij kan worden aangemerkt als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’. De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking vaststelt. Met name de feitelijke invloed/zeggenschap over de verwerking is doorslaggevend voor de vraag of een partij als verwerkingsverantwoordelijke kan worden aangemerkt. De verwerkingsverantwoordelijke is verantwoordelijk voor het naleven van de verplichtingen die worden genoemd in de AVG. Daarnaast is er de verwerker. Dit is degene die ten behoeve van de verwerkingsverantwoordelijke gegevens verwerkt. Hierbij kan gedacht worden aan een clouddienst die namens de verwerkingsverantwoordelijke gegevens bewaart in de cloud.

Wanneer is een overeenkomst wel noodzakelijk?
In de volgende gevallen moet er in het kader van het verwerken van persoonsgegevens een overeenkomst gesloten worden:

Verwerkingsverantwoordelijke – verwerker (artikel 28 lid 3 AVG)
Wanneer een verwerker ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, dan dient er tussen de partijen een ‘verwerkersovereenkomst’ gesloten te worden. In de verwerkersovereenkomst worden onder andere afspraken gemaakt over de bewaartermijn van de persoonsgegevens en de beveiligingsmaatregelen die worden genomen.

Gezamenlijke verwerkingsverantwoordelijken (artikel 26 lid 1 AVG)
Naast de hierboven genoemde verwerkersconstructie, kan er ook sprake zijn van meerdere verwerkingsverantwoordelijken die gegevens met elkaar delen. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doelen en middelen van de verwerking vaststellen, dienen zij een ‘overeenkomst gezamenlijke verwerkingsverantwoordelijken’ af te sluiten. In deze overeenkomst worden afspraken gemaakt over het naleven van de verplichtingen die worden genoemd in de AVG, zoals het uitoefenen van de rechten van betrokkenen.

Let op: een overeenkomst gezamenlijke verwerkingsverantwoordelijken is niet noodzakelijk bij twee individuele verwerkingsverantwoordelijken. Zie hieronder voor meer informatie.

Wanneer is een overeenkomst niet noodzakelijk?
Er hoeft geen overeenkomst gesloten te worden wanneer er gegevens worden gedeeld tussen verwerkingsverantwoordelijken die ieder een eigen individuele verantwoordelijkheid hebben met betrekking tot het verwerken van persoonsgegevens. Dit is bijvoorbeeld het geval als een organisatie gegevens deelt met een partij die een eigen wettelijke taak heeft om persoonsgegevens te verwerken. Een voorbeeld daarvan is het verstrekken van gegevens aan de Belastingdienst of de accountant. De Belastingdienst heeft een eigen wettelijke taak voor het verwerken van financiële gegevens in het kader van belastingheffing, waardoor er bij de Belastingdienst een nieuwe verantwoordelijkheid ontstaat. Om deze reden hoeft er geen overeenkomst gesloten te worden met de Belastingdienst. Dit geldt ook voor het verstrekken van financiële gegevens aan de accountant. Wanneer een organisatie gegevens verstrekt aan de accountant en de accountant verwerkt deze gegevens in het kader van zijn wettelijke controletaak, dan hoeft er ook geen overeenkomst gesloten te worden.

Tot slot
De vraag of er een overeenkomst gesloten dient te worden, is dus vooral afhankelijk van de rol van de partijen (verantwoordelijke/verwerker) en de relatie tussen de partijen (gezamenlijke of individuele verantwoordelijkheid). Om deze reden is het verstandig om vóór het sluiten van een overeenkomst, de verschillende partijen en verwerkingen in kaart te brengen. Dit kan bijvoorbeeld door het opstellen van een stroomschema. Ook het register van verwerkingsactiviteiten kan een goed overzicht geven. Omdat de inventarisatie door de vele gegevensstromen een ingewikkelde (en vaak technische) klus kan zijn, is het van belang dat verschillende afdelingen van de organisatie met elkaar samenwerken (denk aan ICT & Legal).

Wilt u meer informatie over het sluiten van overeenkomsten met ICT-leveranciers of ketenpartners? Of wilt u een contract door ons laten opstellen? Neem dan contact op met het Privacy Team van Yspeert: Mart Dijkstra, Stan Elsendoorn en Tom Klatter.

Uw eerste aanspreekpunt:

Mart Dijkstra

Nauwe samenwerking met de cliënt vind ik essentieel voor het behalen van het optimale resultaat. Ik benader een probleem met een helikopterview en kies voor de juiste strategie voor de cliënt.