De Europese Commissie heeft – voor de eerste keer – een standaard verwerkersovereenkomst aangenomen!

Naast het nieuwe modelcontract voor internationale gegevensdoorgifte, heeft de Europese Commissie op 4 juni 2021 – voor de eerste keer – een standaard verwerkersovereenkomst tussen verwerkingsverantwoordelijken en verwerkers goedgekeurd. De standaard verwerkersovereenkomst treedt in werking op 27 juni 2021. In ons vorige artikel gingen wij in op het nieuwe modelcontract voor internationale gegevensdoorgifte. In dit artikel bespreken wij de standaard verwerkersovereenkomst.

Wat is de achtergrond van de verwerkersovereenkomst?

Wanneer een verwerkingsverantwoordelijke een andere partij inschakelt voor de verwerking van persoonsgegevens, dan moet die verwerking worden geregeld bij overeenkomst. Dit wordt ook wel de verwerkersovereenkomst genoemd en heeft een wettelijke basis in artikel 28 Algemene Verordening Gegevensbescherming (hierna: AVG). Lid 3 en 4 van dit artikel beschrijven de inhoudelijke vereisten aan een verwerkersovereenkomst.

De Europese Commissie (hierna: EC) kan op grond van artikel 28 lid 7 AVG ook modelcontractbepalingen vaststellen in het kader van verwerkersovereenkomsten. Dit is de eerste keer dat de EC van deze mogelijkheid gebruik heeft gemaakt. In de praktijk gaan er de afgelopen jaren al meerdere standaard verwerkersovereenkomsten rond, zoals de modelverwerkersovereenkomst voor gemeenten en de modelverwerkersovereenkomst voor de zorgsector, maar dit is het eerste goedgekeurde model door de EC.

Verhouding verwerkersovereenkomst en modelcontract voor internationale gegevensdoorgifte

In ons vorige artikel bespraken wij het nieuwe modelcontract voor internationale gegevensdoorgifte. Om te beginnen maken wij een belangrijk onderscheid met het modelcontract. Daar waar het gebruik van het nieuwe modelcontract tot op zekere hoogte een ‘verplichting’ kan zijn, is het gebruik van de standaard verwerkersovereenkomst geheel vrijwillig. Op grond van artikel 28 lid 6 AVG kunnen verwerkingsverantwoordelijken en verwerkers er namelijk ook voor kiezen om een individuele verwerkersovereenkomst te sluiten. Daarnaast kunnen verwerkingsverantwoordelijken en verwerkers per 27 juni 2021 geheel of gedeeltelijk gebruikmaken van de standaard verwerkersovereenkomst die door de EC is vastgesteld.

Het gebruik van de standaard verwerkersovereenkomst is dan ook niet verplicht en kan bijvoorbeeld ook enkel worden gebruikt als uitgangspunt in onderhandelingen tussen verwerkingsverantwoordelijken en verwerkers. Ook staat het verwerkingsverantwoordelijken en verwerkers vrij om de standaardbepalingen op te nemen in een bredere overeenkomst en om andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet (in)direct in strijd zijn met de standaard verwerkersovereenkomst of afbreuk doen aan bepaalde grondrechten en vrijheden.

Bovendien geldt dat met de komst van het nieuwe modelcontract voor internationale gegevensdoorgifte, er geen separate of aanvullende verwerkersovereenkomst meer hoeft te worden gesloten tussen een verwerkingsverantwoordelijke en een verwerker. Het nieuwe modelcontract bevat namelijk naast de vereisten voor een veilige internationale gegevensdoorgifte, ook de relevante bepalingen als omschreven in artikel 28 lid 3 en 4 AVG. Wanneer een verwerkingsverantwoordelijke of verwerker dus gebruikmaakt van een (sub)verwerker in een derde land, dan hoeven partijen ‘alleen nog maar’ het nieuwe modelcontract te sluiten. Partijen mogen uiteraard wel aanvullende afspraken maken, mits deze afspraken (wederom) niet strijdig zijn met het modelcontract of afbreuk doen aan bepaalde grondrechten en vrijheden.

Wat valt ons op in de standaard verwerkersovereenkomst?

Ten eerste geldt dat de standaard verwerkersovereenkomst (en ook het modelcontract) het mogelijk maakt voor partijen om eenvoudig later toe te kunnen treden tot de overeenkomst. Derden moeten gedurende de gehele looptijd van de standaard verwerkersovereenkomst toe kunnen treden door middel van de zogenoemde ‘docking-bepaling’. Voor de toetredende partij vloeien geen rechten of verplichtingen voort met betrekking tot de periode voordat zij partij werd.

Ten tweede geldt (ook in het modelcontract) voor het inschakelen van subverwerkers dat er twee opties worden geboden: (1) voorafgaande specifieke toestemming van de verwerkingsverantwoordelijke, en (2) algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. Bij de tweede optie heeft de verwerkingsverantwoordelijke nog wel de mogelijkheid om bezwaar te kunnen maken tegen het inschakelen van de nieuwe subverwerker.

Ten derde schrijft de standaard verwerkersovereenkomst (en ook het modelcontract) voor dat duidelijk moet worden gespecificeerd in de bijlagen:

1. een lijst van partijen: zoals naam, adres en contactgegevens van de contactpersoon;
2. een beschrijving van de verwerking: categorieën betrokkenen, verwerkte persoonsgegevens, toegepaste beperkingen en waarborgen bij de verwerking van bijzondere categorieën persoonsgegevens, aard van de verwerking, doeleinde(n) en duur van de verwerking. Ook het voorwerp, de aard en de duur van de verwerking door (sub)verwerkers;
3. technische en organisatorische maatregelen: er worden voorbeelden gegeven in deze bijlage, zoals pseudonimiseren, identificatie, autorisatie en certificering van processen en producten;
4. een lijst van subverwerkers: ongeacht een voorafgaande, specifieke of algemene, schriftelijke toestemming moet de eerste verwerker een lijst van de andere subverwerkers bijhouden. Partijen dienen ervoor te zorgen dat deze lijst steeds is bijgewerkt.

Tot slot geldt dat de standaard verwerkersovereenkomst uiteraard voldoet aan alle overige vereisten van artikel 28 lid 3 en 4 AVG. Wat bovendien nog interessant is dat uitdrukkelijk wordt gewezen op de documentatie- en verantwoordingsplicht. Partijen moeten kunnen aantonen dat zij aan de bepalingen uit de verwerkersovereenkomst voldoen. Dit is iets wat momenteel nog met enige regelmaat ontbreekt in verwerkersovereenkomsten. Ook bij de voorbeelden van de technische en organisatorische maatregelen wordt genoemd: “maatregelen ter waarborging van de verantwoordingsplicht”. Dit toont nog maar eens de noodzaak aan van de documentatieplicht voor beide partijen.

Conclusie

De standaard verwerkersovereenkomst is helder en beknopt geschreven, maar dekt uiteraard ook alle vereisten uit de AVG. Het format biedt voor zowel verwerkingsverantwoordelijken als verwerkers bruikbare handvatten voor het opstellen van de verwerkersovereenkomst en de onderhandelingen.

Heeft u nadere vragen over de standaard verwerkersovereenkomst? Neem dan contact op met één van de andere medewerkers van de Business Unit Privacy, ICT en Intellectuele Eigendom.