Verwerkersovereenkomst sluiten of niet?

‘In veel gevallen niet nodig’

23 december 2021 / in Nieuws / door Sippe van der Tas

De AVG (Algemene verordening gegevensbescherming) verplicht een verwerkingsverantwoordelijke een verwerkersovereenkomst te sluiten met een bedrijf dat of instantie die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Datzelfde geldt ook voor de Wpg (de Wet politiegegevens).

Er zijn al behoorlijk wat artikelen verschenen waarin het moeten sluiten van zo’n verwerkersovereenkomst in alle gevallen waarin een bedrijf of instantie persoonsgegevens van de verwerkingsverantwoordelijke ontvangt een ‘misverstand’ wordt genoemd. In onze dagelijkse werkzaamheden zien wij inderdaad regelmatig dat er verwerkersovereenkomsten worden gesloten voor situaties waarin de wet dat niet eist. Het is niet altijd eenvoudig om vast te stellen of er in een bepaalde situatie een verwerkersovereenkomst gesloten moet worden (en de wet is op dat punt natuurlijk leidend), maar er is wel een soort ‘ezelsbruggetje’.

Ik leg het in dit artikel nog een keertje uit:

In het algemeen is een verwerkingsverantwoordelijke verplicht om een verwerkersovereenkomst te sluiten met een bedrijf of een instantie als de PRIMAIRE opdracht van de verwerkingsverantwoordelijke aan dat bedrijf of die instantie is om persoonsgegevens voor hem te verwerken. Het bedrijf dat of de instantie die een dergelijke opdracht uitvoert is dan verwerker. Het sluiten van een verwerkersovereenkomst is dan verplicht. Een goed voorbeeld van zo’n situatie is een beveiligingsbedrijf dat als (primaire) opdracht heeft de beveiligingscamera’s van een ander bedrijf op afstand uit te kijken en dus persoonsgegevens te verwerken. Het beveiligingsbedrijf is verwerker.

Een ander geval is als de verwerkingsverantwoordelijke een opdracht aan een bedrijf of instantie geeft waarbij het verwerken van persoonsgegevens NIET de primaire opdracht is, maar het ter beschikking krijgen van persoonsgegevens een UITVLOEISEL is van de primaire opdracht. In dat geval is het sluiten van een verwerkersovereenkomst niet aan de orde. Een voorbeeld van deze situatie betreft het geval waarin een leverancier van kerstpakketten de primaire opdracht krijgt kerstpakketten te bezorgen bij de werknemers van een bedrijf, in verband waarmee hij dan natuurlijk de adressen van de werknemers (persoonsgegevens!) van dat bedrijf (als uitvloeisel van de primaire opdracht) nodig heeft en ontvangt.

Nu hoor ik u al vragen; ‘maar hoe zit het dan met de bescherming van de adressen van de werknemers die de leverancier heeft ontvangen?’.

Dat is een terechte vraag, maar het antwoord is ook duidelijk: ook voor de leverancier van de kerstpakketten geldt de AVG. Dat betekent onder andere dat hij de adressen niet langer mag bewaren dan nodig, wat vervolgens betekent dat hij deze moet vernietigen zodra de kerstpakketten zijn bezorgd. De leverancier is met betrekking tot de ontvangen adressen zelf ook verwerkingsverantwoordelijke. Het is in dergelijke situaties wel verstandig om, naast de toepasselijkheid van de AVG, ook als extra ‘slot op de deur’ contractueel met de leverancier af te spreken dat hij verder niets met de adressen zal doen en ze zal vernietigen na de bezorging van de kerstpakketten. Eventueel kan in dat verband ook een boete worden opgenomen voor het geval de leverancier zich niet aan de afspraak houdt.

Voor de beoordeling van de vraag of er in een bepaalde situatie wel of geen verwerkersovereenkomst moet worden gesloten raad ik u aan om eens te kijken naar de voorbeelden die de Autoriteit Persoonsgegevens heeft opgenomen op haar website. Zie in dat verband: voorbeeldlijst_verwerkers_def.pdf (autoriteitpersoonsgegevens.nl)

Voor het geval u twijfelt aan het wel of niet moeten sluiten van een verwerkersovereenkomst kan Lex Digitalis u adviseren.