Is uw bewerkersovereenkomst toekomstproof?

rechtict.jpg

Op 25 mei 2018 zal de Europese Algemene Verordening Gegevensbescherming (“AVG”) in werking treden. De bepalingen van deze verordening, die de Wet bescherming persoonsgegevens (“Wbp”) zal vervangen, zullen een enorme impact hebben op bedrijven die persoonsgegevens verwerken in de Europese Unie (“verantwoordelijken” genoemd in de verordening). Dit geldt nog meer voor hun IT leveranciers.  Als “bewerkers” van persoonsgegevens (in de AVG: “verwerkers” genoemd) zullen zij voor het eerst direct onderworpen zijn aan vereisten op het gebied van dataprotectie. Dit artikel behandelt één van de nieuwe kernverplichtingen: de aanwezigheid van een bewerkersovereenkomst (die ik, om consequent te zijn verder “verwerkersovereenkomst” zal noemen) waarin zowel de verantwoordelijke als de verwerker verantwoording afleggen voor hun afspraken en de verdeling van hun verantwoordelijkheden.

Dit artikel behandelt ook:

  • de verwerkersovereenkomst zoals tot dusver gangbaar in de IT branche;
  • de AVG en het effect daarvan op verwerkers in het algemeen;
  • sancties op grond van de AVG als er geen geldige verwerkersovereenkomst aanwezig is;
  • de verwerkersovereenkomsten van Cloud Infrastructure Service Providers.

Van bewerkersovereenkomst naar verwerkersovereenkomst

Lang is de verwerkersovereenkomst niet zo serieus genomen in IT land. Vergeleken met de AVG stelde de Wet bescherming persoonsgegevens er ook niet zoveel eisen aan. Natuurlijk, als IT leverancier heb je, wanneer je persoonsgegevens voor je klant verzend of opslaat, bepaalde verplichtingen. Deze IT leveranciers zijn bekend met het feit dat ze “passende technische en organisatorische beveiligingsmaatregelen tegen het verlies van die gegevens” moeten treffen. Een paragraafje in het klantcontract waarin deze tekst letterlijk werd overgenomen gold lange tijd als de verwerkersovereenkomst.

Meldplicht datalekken

Als gevolg van een wijziging in de Wbp werd op 1 januari 2016 de meldplicht datalekken geïntroduceerd. Als gevolg daarvan zijn verantwoordelijken meldplichtig en leggen zij hun leveranciers op hun beurt de verplichting op om mee te werken om aan die verplichting te kunnen voldoen. Die meldplicht èn een forse uitbreiding van de bevoegdheid van de Autoriteit Persoonsgegevens om wetsovertreders te beboeten zorgen voor meer aandacht voor de tekst van de verwerkersovereenkomst. Gezien de toegenomen financiële risico’s bij wetsovertredingen wordt er ook steeds vaker over onderhandeld.

Algemene Verordening Gegevensbescherming

De meldplicht datalekken is een opmaat naar de Europese Algemene Verordening Gegevensbescherming (“AVG” of in het Engels: “GDPR”). Die verordening die, als gezegd, op 28 mei 2018 in werking treedt, betekent een forse uitbreiding van de eisen die aan een verwerkersovereenkomst gesteld worden.

Maar dat is niet het enige. Het belangrijkste gevolg van de AVG voor IT dienstverleners is dat voor hen voor het eerst rechtstreeks wettelijke verplichtingen gaan gelden. Tot de komst van de AVG rusten die verplichtingen alleen op hun klant/de verantwoordelijke. Die zet die verplichtingen, althans waar het beveiligingsmaatregelen betreft, wel via de verwerkersovereenkomst door naar de bewerkers. Maar nu behoudt hij nog de eindverantwoordelijkheid.

Die nieuwe, rechtstreekse verplichtingen voor de verwerker bestaan bijvoorbeeld uit:

  • het bijhouden van een register van verwerkingen;
  • het treffen van de eerdergenoemde adequate beveiligingsmaatregelen (waaronder het uitvoeren van periodieke beveiligingstesten);
  • het benoemen (onder bepaalde omstandigheden) van een functionaris voor gegevensbescherming;
  • het voldoen aan de vereisten voor doorgifte aan derde landen,  en
  • het samenwerken met toezichthouders.

Ook de verantwoordelijke wordt onder de AVG geconfronteerd met nieuwe verplichtingen. Sommige daarvan zal hij willen doorzetten naar zijn IT leverancier. Denk hierbij aan vereisten als “privacy by design” en “privacy by default”.

Je vraagt je af hoe de naleving van al deze nieuwe vereisten gecontroleerd gaat worden. Daarvoor lijkt de Europese overheid te rekenen op een systeem van certificering. Op grond van een certificeringssysteem kunnen door de privacy-toezichthouders geaccrediteerde auditors certificaten verstrekken en verlengen. Opdrachtgevers kunnen op die manier beoordelen of hun IT leverancier “AVG-proof” is .

Naast dat de verordening de Nederlandse taal verrijkt met een woord als: “gegevensbeschermingseffectbeoordeling” zal deze dus een behoorlijke administratieve belasting opleveren voor de IT branche. Maar ongetwijfeld ook kansen voor hen die deze belasting verlichten met een digitale oplossing.

Nieuwe eisen aan de verwerkersovereenkomst

Terug naar de verwerkersovereenkomst. De AVG verplicht verantwoordelijke èn verwerker tot het vastleggen/adresseren van de volgende onderwerpen in de verwerkersovereenkomst:

  • het specificeren van de verwerkingen die zullen plaatsvinden en het doel daarvan;
  • het benoemen van de categorieën van betrokkenen (de personen wiens data worden verwerkt);
  • dat verwerking plaatsvindt op basis van schriftelijke instructies van de verantwoordelijke;
  • de waarborg dat verwerkers vertrouwelijkheid in acht nemen;
  • dat de verwerker verantwoordelijk is voor de bekende technische en organisatorische beveiligingsmaatregelen, nu voor een “op het risico afgestemd” beveiligingsniveau (waarvan de verordening voorbeelden noemt zoals pseudonimisering, versleuteling, permanente informatiebeveiliging, herstel van beschikbaarheid/toegang tot gegevens bij incidenten en regelmatige beveiligingstesten);
  • dat de verantwoordelijke voorafgaande specifieke toestemming aan de verwerker geeft voor het inschakelen van een subverwerker (zoals een hosting provider of datacenter) (aan welke subverwerker trouwens door de verwerker verplichtingen van hetzelfde niveau als uit de verwerkersovereenkomst voortvloeien moeten worden opgelegd);
  • dat de verwerker de verantwoordelijke assisteert bij het vervullen van zijn plicht om aan verzoeken van de betrokkene te voldoen (zoals verwijdering, wijziging, inzage of verstrekking in een gangbaar format van de persoonsgegevens);
  • dat de verwerker de verantwoordelijke assistentie verleent bij andere verplichtingen zoals het melden van datalekken en het uitvoeren van een risico-analyse;
  • dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt;
  • dat de verwerker meewerkt aan een audit door de verantwoordelijke waarin deze nagaat of de verplichtingen uit de verwerkersovereenkomst worden nagekomen.

Volgens de verordening kunnen de verantwoordelijke en verwerker in plaats van een individuele verwerkersovereenkomst ook “standaardcontractbepalingen” gaan gebruiken. Die zullen op enig moment door de Europese autoriteiten worden vastgesteld. Wie daar niet op wil wachten, bijvoorbeeld omdat hij nu al een langjarig contract met zijn IT dienstverlener wil gaan sluiten en niet volgend jaar wil hoeven heronderhandelen kan beter alvast rekening houden met de AVG.

Sancties

Inbreuken op het vereiste om een verwerkersovereenkomst op te stellen die “AVG proof” is kunnen in theorie leiden tot administratieve geldboeten tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet van de verantwoordelijke en/of de verwerker in het voorgaande boekjaar. Daarnaast kan een verwerker civielrechtelijk aansprakelijk zijn opzichte van hen die schade lijden door een overtreding van de AVG (al zal dat bij het ontbreken van een verwerkersovereenkomst sec niet snel het geval zijn). Hoe het boetebeleid in de praktijk zal uitpakken moet nog blijken maar verantwoordelijken èn verwerkers zijn gewaarschuwd.

Net als verplichtingen kunnen ook boetes van de privacy autoriteiten in de toekomst dus rechtstreeks aan verwerkers worden opgelegd. Tot de inwerkingtreding van de verordening hebben verwerkers (uitzonderingen daargelaten) pas last van die boetes als hun klant die met succes op hen kan afwentelen op grond van de verwerkersovereenkomst.

Cloud Infrastructure Service Providers

Maakt u als gebruiker of als IT ondernemer voor hosting van persoonsgegevens gebruik van de diensten van een Cloud Infrastructure Service Provider (oftewel van Infrastructure as a Service)? Dan vraagt u zich wellicht af hoe u de verplichtingen uit uw toekomstige (sub)verwerkersovereenkomst gaat doorzetten naar die provider.

Het commodity-achtige karakter van IaaS leent zich immers niet goed voor de afstemming die de verordening van de verwerkingsketen eist. CISP’s leggen hun afnemers doorgaans éénzijdig hun voorwaarden op, hooguit mogen die het grondgebied aanvinken waar hun data worden opgeslagen (het “EU-only” vinkje).

De verordening verdraagt zich dus moeilijk met de economische realiteit van het grootschalige gebruik van deze diensten. Die realiteit is dat de cloudoplossingen van CISP’s als Google, Amazon, Microsoft en IBM voorzien in een grote behoefte aan betaalbare, goed beveiligde en schaalbare dataopslag. De economische belangen zijn enorm. Niet voor niets heeft de Europese Commissie met de VS een overeenkomst over datatransfers naar de VS gesloten (het zogenaamde Privacy Shield) terwijl die volgens critici onvoldoende recht doet aan de strenge Europese privacywetgeving.

De vraag is hoe deze tegenstrijdige ontwikkelingen met elkaar in lijn gaan worden gebracht.

Een mogelijkheid is een eigen gedragscode van CISP’s die voorschrijft hoe CISP’s compliant zijn met de AVG. Een groep Europese CISP’s, verenigd onder de naam Cloud Infrastructure Services Providers in Europe of “CISPE” (website: https://cispe.cloud/)  heeft hier al een concept voor gepubliceerd.  Als dit concept wordt goedgekeurd door de privacy-autoriteiten betekent dit dat een  IT-leverancier door zich aan te sluiten bij de gedragscode en deze na te leven verondersteld wordt te handelen conform de eisen van de AVG.

Uit het concept blijkt dat CISP’s die compliant willen zijn met de gedragscode transparanter moeten zijn over hun sub-processors, de locatie van opslag van data, security maatregelen enzovoorts. Op bepaalde punten zullen zij (gestandaardiseerde) extra processen moeten instellen, zoals voor het aanbieden van audits en voor het behandelen van verzoeken van individuen over hun gegevens.

Naast een gedragscode zou eerdergenoemde certificering een oplossing kunnen bieden voor AVG compliance, wellicht door middel van een aparte certificeringscategorie, toegespitst op CISP’s.

Wanneer aanpassen?

De AVG is een veeleisend, uitgebreid en ingrijpend stuk wetgeving voor zowel verantwoordelijken als verwerkers. Zij hebben nog 16 maanden om de gevolgen voor hun organisatie in kaart te brengen en de juist processen te implementeren.

Veel organisaties zullen dan ook op korte termijn een actieplan ontwikkelen.  Vooral van grootschalige verwerkers van bijzondere persoonsgegevens (denk aan eHealth applicaties) zal verwacht worden dat zij zich bewust zijn van de implicaties van de AVG en daarnaar zullen handelen.  De verwerkersovereenkomst is een belangrijk aandachtspunt voor hen. Niet alleen omdat overtreding van de wet op dit punt tot boetes kan leiden. De verwerkersovereenkomst geeft de hele keten in het verwerkingsproces (verantwoordelijken, verwerkers, subverwerkers) inzicht in hun rol en de verdeling van hun onderlinge verantwoordelijkheden en aansprakelijkheden.

Een  paragraafje in het klantcontract is daarvoor ècht niet meer voldoende…

Wilt u meer weten over verwerkersovereenkomsten en/of de gevolgen van de inwerkingtreding van de AVG voor uw organisatie? Neem vrijblijvend contact op met Marjolijn Hoevenaars Hoevenaars voor een vrijblijvende kennismaking.

Dit artikel verscheen eerder op de website van De Gier│Stam & Advocaten

Share this post: