Het lijkt erop dat ondernemend Nederland de verwerkersovereenkomst als een last ervaart en dat grote verwerkers hieraan wensen te ontkomen. Een verwerker en verwerkingsverantwoordelijke zijn verplicht om een verwerkersovereenkomst met elkaar te sluiten. Deze overeenkomst regelt alle aspecten omtrent de omgang met de persoonsgegevens. In de praktijk doet zich de situatie voor dat de verwerker zichzelf kwalificeert als verwerkingsverantwoordelijk.
Deze verwerker meldt aan de verantwoordelijke dat ze zelf het doel en de middelen bepaalt en dat beide partijen dus verantwoordelijke zijn. Meestal komt deze mededeling op het verzoek van een verantwoordelijke (een webshop bijvoorbeeld) om een verwerkersovereenkomst aan te gaan. De bekendste voorbeelden zijn PostNL en GLS. Ook bij de webshops en hun leveranciers, in het kader van dropshipments, is dit inmiddels aan de orde van de dag. PostNL lijkt inmiddels overigens weer gedraaid, waarover verderop in de blog meer.
Eerste en tweede verantwoordelijke?
De webshop, gemakshalve even eerste verantwoordelijke genoemd, ontvangt de persoonsgegevens van de betrokkene en geeft deze gegevens door aan de bezorgdienst. Deze bezorgdienst kwalificeert zichzelf als (tweede) verantwoordelijke. Er hoeft dus geen verwerkersovereenkomst gesloten te worden. Maar kan dit zomaar? Moet er tussen deze partijen niet iets geregeld worden? De webshop is de eerste verantwoordelijke en moet zich wel kunnen verantwoorden met betrekking tot de gegevensuitwisseling en daarnaast - niet geheel onbelangrijk - de betrokkene zal bij hem komen om zijn rechten uit te oefenen.
De enkele mededeling ‘‘Ik ben zelf de verantwoordelijke en we hoeven geen verwerkersovereenkomst te sluiten’’ biedt wat mij betreft onvoldoende waarborgen voor partijen en betrokkenen. De webwinkelier vindt het echter vaak allang best. Hier schuilt toch wel enig gevaar. Ook lijkt de tweede verantwoordelijke zich niet altijd te realiseren welke aanvullende verplichtingen uit de AVG hij hiermee op zich neemt of op zich zou moeten nemen met bijbehorende aansprakelijkheid.
Verplichtingen uit de AVG
Op zichzelf voorziet de AVG erin dat een verwerker een verantwoordelijke kan worden. Dit gebeurt van rechtswege als de verwerker zelf doel en middelen gaat bepalen naast het doel van de (eerste) verantwoordelijke. Dus de enkele mededeling “ik ben zelf de verantwoordelijke” is voldoende om dat ook te worden. De vraag is alleen of deze zelfbenoemde verantwoordelijke, zich wel realiseert welke verplichtingen uit de AVG hij hiermee op zich neemt, waaronder bijvoorbeeld de informatieplicht naar de betrokkenen. En wie is verantwoordelijk voor het reageren op de ingeroepen rechten van betrokkenen, zoals inzage recht, recht op verwijdering, recht op bezwaar en zo verder? En wellicht nog belangrijker: wie is aansprakelijk jegens de betrokkene als er iets misgaat?
Indien partijen niets overeenkomen omtrent deze gegevensuitwisseling is het meest logisch dat de eerste verantwoordelijke (de webshop) wordt aangesproken door de betrokkene op bijvoorbeeld schadevergoeding. Zij is immers de contractspartij van de betrokkene aan wie de betrokkene zijn persoonsgegevens heeft gegeven. Deze verantwoordelijke kan niet zomaar doorverwijzen naar de tweede verantwoordelijke. Beide verantwoordelijken zijn immers hoofdelijk aansprakelijk. De betrokkene kan dus kiezen en de eerste en tweede verantwoordelijken kunnen daarmee geconfronteerd worden met een schadevergoeding vanwege een inbreuk op de AVG die zij niet zelf hebben veroorzaakt.
Het sluiten van een verwerkersovereenkomst
In de verwerkersovereenkomst worden zaken zoals verantwoordelijkheid voor de gegevens, beveiliging van de gegevens, verantwoordelijkheid voor datalekken en aansprakelijkheid verplicht geregeld in de rechtsverhouding verantwoordelijke en verwerker. Een verwerker kan enkel aansprakelijk zijn voor verzaken van de tot hem gerichte verplichtingen (uit de verwerkersovereenkomst).
In de rechtsverhouding van twee afzonderlijke verantwoordelijken is er geen overeenkomst betreffende gegevensuitwisseling verplicht. De keuze om jezelf als verwerker te ‘promoveren’ naar verantwoordelijke geeft dus inderdaad minder papieren rompslomp. Alleen als er problemen ontstaan betreffende de gegevensuitwisseling dan sta je dus ook met lege handen. Grote kans dat betrokkenen aankloppen bij de eerste verantwoordelijke, de webwinkelier in dit verhaal. Als deze niets heeft geregeld met de tweede verantwoordelijke dan wordt het een stuk lastiger verhaal te halen dan wanneer een verwerkersovereenkomst was gesloten. Daarnaast kan de tweede verantwoordelijke in de problemen komen, doordat er bijvoorbeeld helemaal geen rechtsgeldige grondslag was om persoonsgegevens te verwerken bij de eerste verantwoordelijke.
PostNL lijkt tot ditzelfde inzicht te zijn gekomen. Althans, inmiddels staat er een standaard verwerkersovereenkomst op haar website en lijkt zij zichzelf als verwerker te zien, met uitzondering van digitale diensten zoals Track&Trace (daarin acht zij zich verwerkingsverantwoordelijke).
Ken je verplichtingen
Op basis van bovenstaande is het dus van belang dat partijen zichzelf goed afvragen of het zijn van verantwoordelijke passend is in de gegeven situatie. Weet wat je verplichtingen zijn en promoveer jezelf niet vanwege vermeende voordelen, zoals het niet hoeven overeenkomen van een verwerkersovereenkomst. Daarnaast is het heel verstandig voor beide verantwoordelijken niet tot het delen van persoonsgegevens over te gaan zonder enige regeling. Dus ook al is een verwerkingsovereenkomst niet noodzakelijk of verplicht, het is nog steeds ten zeerste aan te raden om toch enige overeenkomst over uitwisselen persoonsgegevens te sluiten, zoals een data-uitwisselingsovereenkomst.
Deze blog is geschreven in samenwerking met oud-stagiair Hilly van der Wal.
