Menu Close

Verwerkersovereenkomsten

Een van de eerste zaken waarmee ik als privacy professional te maken kreeg was de verwerkersovereenkomst. In dit document wordt de omgang met persoonsgegevens beschreven, voorwaardelijk voor de uitvoering van de hoofdovereenkomst. Er bestaan nogal wat onduidelijkheden en vooroordelen over deze bijzondere overeenkomst.

Het eerste lastige is het bepalen of een dergelijke overeenkomst wel nodig is bij de afgesloten hoofdovereenkomst. Wie leveranciers of partners toegang geeft tot persoonsgegevens voor het verrichten van een dienst, moet dat borgen met de verwerkersovereenkomst.
Een veel gebruikt voorbeeld van een verwerker is het salarisadministratiebedrijf dat voor een werkgever (verwerkingsverantwoordelijke) zorg draagt voor de salarisadministratie en in dat kader de gegevens van werknemers verwerkt (voor de werkgever).

Zo kreeg ik een voorstel voor een verwerkersovereenkomst onder ogen van een taxibedrijf dat onder andere voor een zorgorganisatie personen naar de dagopvang vervoert (in de ochtend heen en in de middag terug). De gedachte was dat de personen cliënten zijn van de zorgorganisatie en het taxibedrijf in opdracht van die organisatie het vervoer doet. Ofwel: het taxibedrijf krijgt zijn klanten via de zorginstelling wat opgevat werd als ‘dan ben ik de verwerker van de klanten (c.q. klantgegevens) van de zorginstelling’.
Deze redenering is te begrijpen maar het is niet in lijn van de definities in de AVG. Leggen we deze casus naast het voorbeeld van het salarisadministratiebedrijf dan is de vraag waarvoor het taxibedrijf persoonsgegevens van cliënten verwerkt van de zorgorganisatie, voor die organisatie. Deze vraag is niet te beantwoorden. Feitelijk is dat het taxibedrijf de namen en adressen van de zorgorganisatie ontvangt met daarbij de dagen dat een cliënt het vervoer nodig heeft. Het taxibedrijf maakt met deze informatie zelfstandig ritindelingen etc. Zij verwerken als verwerkingsverantwoordelijke deze gegevens. De relatie tussen de zorgorganisatie en het taxibedrijf is daarom als tussen twee verwerkingsverantwoordelijken.

In de bepaling of er sprake is van een verwerkingsverantwoordelijke of verwerker moet niet vergeten worden dat we het hebben over de verwerking van persoonsgegevens. Daarop ligt de focus. Beide organisaties moeten aan elkaar aantoonbaar kunnen garanderen dat juist en goed met persoonsgegevens van cliënten of klanten wordt omgegaan. In deze casus is daar geen verwerkersovereenkomst voor nodig. De zorgorganisatie kan de naam en adresgegevens van cliënten verstrekken indien zij van de cliënten hiervoor toestemming hebben gekregen of dit specifiek in de zorgovereenkomst bij het product zijn overeengekomen. Het taxibedrijf op haar beurt geeft de cliënten informatie over hoe zij aan de persoonsgegevens zijn gekomen en wat zij er (verder) mee doen.

De ene situatie is de andere niet; het is afhankelijk van de situatie en afspraken of er wel/niet sprake is van de noodzaak tot het afsluiten van een verwerkersovereenkomst. Belangrijk is dat partijen bewust met persoonsdata omgaan en dat ook aan elkaar kunnen aantonen en motiveren.