De Autoriteit Persoonsgegevens (AP) heeft bij 31 organisaties in de private sector (sectoren handel, gezondheidszorg, media, vrije tijd en energie) onderzoek gedaan naar verwerkersovereenkomsten.
Het doel was een beter beeld te krijgen van hoe organisaties deze overeenkomsten opstellen. De conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn.
Dit past bij het beeld dat de Algemene verordening gegevensbescherming (AVG), door de open normen van deze wet, mogelijkheden biedt voor maatwerk.
Verwerkersovereenkomst
Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken, bijvoorbeeld als zij de boekhouding uitbesteden, een callcenter inhuren of een website laten hosten. Deze andere organisatie heet een verwerker.
In een verwerkersovereenkomst leggen beide partijen afspraken vast over wat de verwerker wel en niet mag doen met die persoonsgegevens. Een verwerkersovereenkomst is verplicht op grond van de AVG.
Conclusies
De conclusies van het verkennend onderzoek van de AP zijn als volgt:
1 Niet AVG-proof
Krap een jaar na inwerkingtreding van de AVG zijn er nog verwerkersovereenkomsten die niet
volledig voldoen aan de eisen uit de AVG. Dit varieert van kleine en eenvoudig aan te passen
zaken tot het niet volledig opnemen van specifieke verplichtingen.
Ook is het niet altijd eenvoudig waar te nemen waar in de verwerkersovereenkomst een bepaald AVG-vereiste is uitgewerkt.
Het niet volledig voldoen aan de eisen vanuit de AVG vormt een risico voor de verwerkingsverantwoordelijke, de verwerker maar zeker ook voor de betrokkenen. Het is primair aan de verwerkingsverantwoordelijke om vast te stellen of er in de door hem afgesloten verwerkersovereenkomsten risico’s aanwezig zijn.
2 Systematische aanpak
Organisaties pakken het opstellen van een verwerkersovereenkomst soms zeer systematisch aan.
Zij maken het onderdeel van hun inkoopproces, waarbij alleen met partijen wordt onderhandeld
die voldoende maatregelen kunnen bieden om aan de AVG te voldoen, en zij maken duidelijke
afspraken over rollen, taken en activiteiten, en richten een systeem in voor het monitoren en
aanpassen van de verwerkersovereenkomst.
3 Behoorlijke inspanning
Uit de opgeleverde informatie blijkt dat het opstellen van de verwerkersovereenkomsten voor
sommige verwerkingsverantwoordelijken, door de grote hoeveelheid verwerkers, een behoorlijke
inspanning is. Enkelen zijn dan ook nu nog bezig met het aanpassen van al voor de AVG
bestaande bewerkersovereenkomsten naar onder de AVG vallende verwerkersovereenkomsten.
Ook heeft de AP een aantal overeenkomsten ontvangen die nog verwijzen naar artikelen uit de
niet meer van kracht zijnde Wbp.
4 Niet concreet genoeg
Uit de beoordeelde verwerkersovereenkomsten komt een wisselend beeld naar voren ten aanzien
van de wijze waarop de afspraken in de verwerkersovereenkomst worden geconcretiseerd.
In sommige gevallen bevatten de verwerkersovereenkomsten slechts artikelen die letterlijk zijn
overgenomen uit de AVG. Dit is onvoldoende.
In het kader van de verantwoordingsplicht is het noodzakelijk dat bijvoorbeeld duidelijk wordt beschreven welke persoonsgegevens er worden verwerkt, voor welke doeleinden en hoe bijvoorbeeld het beveiligingsbeleid en maatregelen in elkaar zitten. Alleen vermelden dat er een beveiligingsbeleid of certificaat is, is niet afdoende.
Aanbevelingen
Degelijke, periodiek bijgewerkte verwerkersovereenkomsten vormen onderdeel van een goede bedrijfsvoering, aldus de AP.
Organisaties die steeds meer door data gedreven worden, doen er goed aan om te investeren in werkende verwerkersovereenkomsten als onderdeel van hun datahuishouding.
Verder heeft de AP een paar algemene aanbevelingen voor organisaties, waaronder:
- Maak op basis van het verwerkingsregister inzichtelijk welke organisaties je inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst geldt of vereist is.
- Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen. Sluit aan op bestaande processen voor contractmanagement en herzie de overeenkomsten periodiek.
- Maak afspraken en maatregelen concreet. Een verwerkersovereenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Benoem bijvoorbeeld concrete bewaartermijnen of maak concreet welke beveiligingsmaatregelen worden getroffen.
Voor meer aanbevelingen en concrete do’s & dont’s, zie: Werkende verwerkersovereenkomsten – Onderzoek naar de toepassing in de private sector.
Verkennende onderzoeken
Sinds de invoering van de AVG op 25 mei 2018 controleert de AP regelmatig of organisaties vereisten uit de privacywetgeving naleven. De AP keek eerder of overheidsorganisaties, ziekenhuizen, (zorg)verzekeraars en banken een functionaris voor de gegevensbescherming (FG) hebben.
Ook deed de AP een verkennend onderzoek bij grote private organisaties om te onderzoeken of zij een register van verwerkingsactiviteiten bijhouden.