AVG compliance: persoonsgegevens uitbesteden, wanneer mag dat onder de AVG? (10/20)

Wie vanaf 25 mei een ander bedrijf wil inschakelen om iets met persoonsgegevens te doen, moet daarbij op zijn tellen passen. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk strenge eisen aan de inzet van zo’n ‘verwerker’: u moet daar toezicht op houden, nagaan dat hij zich keurig aan de AVG houdt en u bent aansprakelijk als er bij hem iets misgaat.

In de terminologie van de AVG is een verwerker een partij die in opdracht van een ander persoonsgegevens verwerkt, en daarbij niet zelf het doel en de middelen van die verwerking bepaalt. Die ander heet dan met een mond vol ‘de verwerkingsverantwoordelijke’, en zoals de naam aangeeft is dat de partij die verantwoordelijkheid draagt voor de verwerking. Deze kiest dus het doel, zoals salarisadministratie, nieuwsbrieven, contact met oud-leden of beveiliging met cameratoezicht.

Een verwerker heeft dus op papier een passieve rol. Hij krijgt een opdracht: doe het volgende voor dit doel, en gebruik daarbij de volgende middelen. In de praktijk zijn de meeste verwerkers wat actiever, ze kiezen in ieder geval vaak zelf de middelen, zoals een bepaald softwarepakket of wijze van opslag.

Wanneer een partij verwerkt voor een ander, moet er tussen hen een verwerkersovereenkomst worden gesloten. Deze regelt specifiek de privacyaspecten van het uitbestede werk, zoals afspraken over beveiliging, de toegestane handelingen en hoe de verantwoordelijke controleert dat de verwerker netjes te werk gaat. Hoofdregel is dat de verantwoordelijke audits moet kunnen uitvoeren, maar het is ook mogelijk afspraken te maken over een onafhankelijke derde die de audits doet.

Een belangrijke daarbij is dat de verwerker niet zomaar delen van het werk mag uitbesteden aan een sub-verwerker. Volgens de AVG is daar steeds toestemming voor nodig. Dat is in de praktijk niet altijd werkbaar, denk aan een verwerker die wil overstappen van de ene SaaS-leverancier naar de andere. Hier moet dus een specifieke regeling voor bedacht worden.

Het niet sluiten van een verwerkersovereenkomst kan worden beboet. Dit geldt ook voor verwerkers – beide partijen hebben dus een heel goede reden om rond de tafel te gaan zitten en dit document te sluiten.

Het is overigens niet zo dat iedere derde partij die u inzet, automatisch een verwerker is. Een partij die zelf beslist hoe de opdracht wordt uitgevoerd, is gewoon een verantwoordelijke. Als u voor uw personeel bijvoorbeeld een hotel boekt bij een dienstreis, dan is het hotel géén verwerker. Zij bepalen immers zelf hoe deze dienst van logies wordt geleverd en hoe zij de persoonsgegevens van uw mensen daarbij gebruiken. Dat wil niet zeggen dat het niet mag, maar u moet dan apart toetsen of u wel een grondslag (zoals in deel 5 behandeld) heeft voor de verstrekking van persoonsgegevens aan dit hotel.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.