Onder de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing zal zijn, is het voor een bewerker van persoonsgegevens verplicht om toestemming te vragen voordat hij de hulp van een subbewerker in kan schakelen (artikel 28 lid 2). Een belangrijke wijziging in het privacyrecht, die een nadere uitleg verdient van de gevolgen voor verschillende partijen.
Dit is een andere vorm van toestemming dan die van artikel 9 AVG (die een grondslag kan zijn voor gegevensverwerking); het is een vereiste voor een bewerker om toestemming te verkrijgen wanneer deze gebruik wil maken van een subbewerker. Hoe werkt dit precies? De goedkeuring kan bijvoorbeeld per e-mail worden gegeven voor een specifieke subbewerker. Ook is het mogelijk om in algemene zin toestemming te verlenen, door een verklaring in de bewerkersovereenkomst: “verantwoordelijke geeft hierbij toestemming voor het inschakelen van subbewerkers”. De verantwoordelijke dient in dat laatste geval wel op de hoogte gehouden te worden, en heeft een recht van bezwaar (zie ook het handboek met artikelsgewijs commentaar bij de AVG).
Gevolgen voor de verantwoordelijke
Voor de verantwoordelijke biedt het toestemmingsvereiste belangrijke voordelen. Die heeft hiermee namelijk een instrument om meer controle uit te oefenen over wie ‘zijn’ persoonsgegevens in handen krijgt. Zo kun je als verantwoordelijke de situatie voorkomen dat je niet meer weet bij wie er allemaal gegevens liggen, en je dus niet meer kunt verantwoorden. Je dient immers te kunnen instaan voor alles wat er met de gegevens gebeurt. Door deze nieuwe regel wordt het gemakkelijker om de wet en overeenkomsten na te leven.
Gevolgen voor de betrokkenen
Dat niet meer zonder toestemming een subbewerker kan worden ingeschakeld, lijkt ook goed nieuws voor degenen over wie de gegevens gaan. Zij kunnen immers beter inzicht krijgen in wie wat van hen weet, en kunnen gemakkelijker hun rechten uitoefenen. Als betrokkene ben je er zeker van dat je gegevens niet meer terechtkomen bij partijen die in het geheel niet bekend zijn bij de organisatie waaraan je de gegevens aanvankelijk toevertrouwde.
Gevolgen voor bewerkers en subbewerkers
Tot zover lijkt de nieuwe strengere regel een positieve ontwikkeling. Echter, voor bewerkers en subbewerkers kan de nieuwe regeling meer administratieve lasten inhouden, doordat niet zeker is of de bewerker toestemming zal krijgen. Ook wanneer je je als bewerker of subbewerker geheel aan de wet houdt en de bescherming van de persoonlijke levenssfeer hoog in het vaandel hebt staan, kunnen er extra tijd en kosten gemoeid zijn met het verkrijgen van toestemming.
Een bewerkersovereenkomst is tegenwoordig al verplicht, waarin afspraken worden gemaakt over hoe een subbewerker zal omgaan met persoonsgegevens. Dit biedt al een belangrijke mate van privacybescherming. Zonder duidelijke afspraken bestaat er een zeker gevaar van willekeur bij de beslissing om al dan niet toestemming te verlenen. Ook is het mogelijk dat een partij onredelijke voorwaarden aan de goedkeuring verbindt.
Door duidelijke afspraken te maken in een bewerkersovereenkomst, kunnen deze nadelen voor een groot deel worden ondervangen. Veel bewerkersovereenkomsten dienen naar aanleiding van de nieuwe regel aangepast te worden, aangezien er in huidige overeenkomsten vaak geen of onduidelijke toestemming voor het inschakelen van subbewerkers is te vinden.
Er kan dus op zeer verschillende wijzen naar deze wetswijziging worden gekeken. Het zal van belang zijn voor alle partijen om zich bewust te zijn van het toestemmingsvereiste en duidelijke afspraken te maken.
