GDPR en de stormvloed aan ‘verwerkersovereenkomsten’

GDPR en de stormvloed aan 'verwerkersovereenkomsten'

15 juni 2018

Naast talloze (al dan niet terechte-) verzoeken om (hernieuwde-) toestemming met de verwerking van uw persoonsgegevens, ontvangt uw bestuur-/onderneming sinds de GDPR-datum van 25 mei 2018 wellicht ook diverse 'verwerkersovereenkomsten', die zij met een verwerker (bv. een ICT-onderhoudsfirma, een sociaal kantoor  ...) of -als zijnde verwerker verplicht dient af te sluiten.

Wij stellen echter vast dat er diverse verwerkersovereenkomsten circuleren, die noch de toepasselijke regelgeving (in bijzonder, artikel 28 GDPR-) noch uw rechten  als verwerkingsverantwoordelijke geheel respecteren.
Wij wijzen u graag op de  3 common mistakes:

1. Vergeet de bijstandsverplichting niet!

Overeenkomstig de artikelen 28, 3de lid, e) en f) GDPR dient de verwerkersovereenkomst te voorzien dat de verwerker de verwerkingsverantwoordelijke op een aantal punten bijstand verleent.

De  verwerker dient de verwerkingsverantwoordelijke in staat te stellen- en bij te staan om aan diens verplichtingen:

uit hoofdstuk 3 van de GDPR (het beantwoorden van de rechten van betrokkenen-) te voldoen.

Bv. de verwerker verbindt zich om een verzoek tot inzake, verbetering ... onmiddellijk over te maken én ter beantwoording daarvan (mede-) het nodige te ondernemen;

uit de artikelen 32 t.e.m. 36 GDPR te voldoen.

Bv. de verwerker verbindt zich om eventuele inbreuken onmiddellijk te melden aan de verwerkingsverantwoordelijke én om (desgevallend-) mee te werken aan een verplichte gegevensbeschermingseffectenbeoordeling.

Wij stellen vast dat voormelde bijstandsverplichting vaak niet- of té beperkt wordt voorzien, doch adviseren uw bestuur-/onderneming - teneinde een goede uitvoering van haar verplichtingen als verwerkingsverantwoordelijke te verzekeren - daarop aan te dringen.

2. Vergeet geen concrete omschrijving van de verwerking van persoonsgegevens!

Artikel 28, lid 3 GDPR voorziet dat de verwerkersovereenkomst de concrete-/feitelijke modaliteiten van de verwerking van persoonsgegevens - door de verwerker ten behoeve van de verwerkingsverantwoordelijke - dient te bevatten, in bijzonder:

het onderwerp én de duur van die verwerking (bv. voor de uitvoering van het ICT-onderhoudscontract in bijlage én tot het einde ervan in '20);

de aard en het doel van die verwerking (bv. digitaal klantenbeheer, direct marketing via e-mail en social media ...);

het soort persoonsgegevens (bv. is er ook sprake van bijzondere categorieën van persoonsgegevens, zoals medische gegevens?);

de categorieën van betrokkenen (bv. is er ook sprake van minderjarigen?);

de betreffende rechten en verplichtingen van de verwerkingsverantwoordelijke.

Wij stellen vast dat voormelde concrete-/feitelijke modaliteiten vaak niet (afdoende-) in verwerkersovereenkomsten worden omschreven.
Uw bestuur-/onderneming zou voormelde concrete-/feitelijke modaliteiten makkelijker kunnen duiden, a.d.h.v. het register der verwerkingsactiviteiten van de verwerker (art. 30, 2de lid GDPR), dat voormelde modaliteiten (minstens 2de tot 4de gedachtestreepje-) zou dienen te omvatten. Voormeld register kan eventueel gemakshalve als bijlage bij de verwerkersovereenkomst worden gevoegd. 

3. Let op met aansprakelijkheid!

Ondanks een regeling inzake aansprakelijkheid van partijen overeenkomstig de GDPR niet verplicht is, opteren de meeste partijen er terecht voor.

Diverse aansprakelijkheidsclausules voorzien, dat de verwerker niet aansprakelijk kan zijn voor schade die voortvloeit uit instructies van de verwerkingsverantwoordelijke. Artikel 28, 3, a) GDPR voorziet echter dat de verwerker de persoonsgegevens uitsluitend op basis van instructies van de verwerkingsverantwoordelijke kan-/mag verwerken.

Er lijkt beargumenteerd te kunnen worden dat verwerkers zich via voormelde clausule de facto exonereren voor iedere mogelijke aansprakelijkheid inzake de verwerking van de persoonsgegevens! Mogelijks-/wellicht is uw bestuur-/onderneming een evenwichtigere aansprakelijkheidsregeling genegen?

Bijkomend kan u overwegen om in de aansprakelijkheidsclausule een 'vrijwaring op eerste schriftelijk verzoek' te voorzien, op basis waarvan uw bestuur-/onderneming van de tekortkomende verwerker onmiddellijk de (terug-)betaling van haar schade (ingevolge de betreffende tekortkomingen-) kan vorderen.

GD&A-advocaten volgt onderhavige materie op de voet én kan uw bestuur-/onderneming daarin perfect bijstaan, inclusief het reviseren en-/of redigeren van verwerkersovereenkomsten, mét bijzondere aandacht voor voormelde- én andere (common-) mistakes!

Meer info bij de auteur(s) :

Contacteer Willem Mariën
Advocaat
t 015/40 49 40 of willem.marien@gdena-advocaten.be

Contacteer Wouter Rubens
Advocaat
t 015/40 49 40 of wouter.rubens@gdena-advocaten.be

Contacteer Bert De Keyser
Advocaat-vennoot
t 015/40 49 40 of bert.dekeyser@gdena-advocaten.be