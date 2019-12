Beter 'safe than sorry' in je uitbesteding van data.

Komt het aan op het uitbesteden van IT, dan is het belangrijk een goede verwerkersovereenkomst op te stellen. Dit is een overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker, waarin - kortgezegd - wordt vastgelegd hoe de verwerker met de persoonsgegevens van de verwerkingsverantwoordelijke moet omgaan. De verwerkingsverantwoordelijke is bijvoorbeeld een zorginstelling die diensten afneemt bij een IT-leverancier welke aangemerkt kan worden als verwerker. In de praktijk blijken dit soort overeenkomsten vaak een aantal 'fouten' te bevatten, omdat de huidige wet- en regelgeving (nog) niet altijd even duidelijk is over de invulling van de verwerkersovereenkomst. Door een aantal basiszaken goed te regelen, kan in de toekomst echter veel juridische narigheid worden voorkomen. Wido Potters, Sales & Support Manager bij BIT, ging hierover in gesprek met Reny Stark, advocaat bij Van Veen Advocaten, en zet vier tips voor een goede verwerkersovereenkomst op een rij.

Tip 1: Wees kritisch op de rechtsverhouding met je contractspartner

"Vaak zie ik dat verwerkersovereenkomsten geformuleerd worden als een soort van algemene voorwaarden, die standaard van toepassing worden verklaard op iedere overeenkomst waarbij mogelijk sprake is van verwerking van persoonsgegevens", begint Stark. "Allereerst dient echter beoordeeld te worden of er überhaupt sprake is van een relatie waarbij een verwerkersovereenkomst moet worden gesloten. Bedrijven zien een bedrijf dat in aanraking komt met hun data namelijk al snel als verwerker. Voor de zekerheid wordt alles daarom contractueel 'dichtgetimmerd' door middel van een verwerkersovereenkomst. Voor je het weet kennen partijen een rechtsverhouding toe die strikt genomen niet bestaat." 'Better safe than sorry' gaat dus niet altijd op ten aanzien van het sluiten van de verwerkersovereenkomst. Het is daarom cruciaal om altijd te controleren of de contractspartners daadwerkelijk verwerkingsverantwoordelijke en verwerker zijn.

Tip 2: Stem de verwerkersovereenkomst af op de specifieke situatie

Stark geeft daarnaast aan dat beide partijen in de praktijk niet zomaar weg komen met een standaard overeenkomst: "Een verwerkersovereenkomst is maatwerk. Daarom moet erin geïnvesteerd worden. Voor een verwerker betekent dit in beginsel niet dat er ten aanzien van iedere klant een andere verwerkersovereenkomst dient te worden gesloten. Juist niet. In de praktijk is het namelijk onmogelijk om alle nuanceringen ten aanzien van verschillende klantenrelaties te onthouden en te blijven toepassen. Ik raad verwerkers dan ook aan om klanten standaard hun eigen verwerkersovereenkomst aan te bieden die aansluit bij de dienstverleningsovereenkomst. De twee documenten moeten elkaar niet tegenspreken, maar juist aanvullen. Ook is het belangrijk om de duur van de verwerkersovereenkomst gelijk te stellen aan de duur van de raamovereenkomst."

Ook stipt Stark aan dat beide partijen erop moeten letten dat de verwerkersovereenkomst past bij zowel de bedrijfsvoering van de verwerker als die van de verwerkingsverantwoordelijke. Kunnen de afspraken in de praktijk wel relatief gemakkelijk nagekomen worden? Zijn de gegeven garanties, op bijvoorbeeld securityniveau, passend? Zijn de eisen met betrekking tot vernietiging van data in de praktijk wel realistisch door te voeren? Het is dan ook zaak dat de verwerkersovereenkomst wordt afgestemd op de specifieke situatie van partijen.

Tip 3: Zorg voor een heldere en volledige aansprakelijkheidsbepaling

Een ondeugdelijke aansprakelijkheidsbepaling is volgens Stark risicovol: "Zorg dan ook voor een heldere en volledige aansprakelijkheidsbepaling. Vooral voor een verwerker is het zaak om hier kritisch naar te kijken. Indien bijvoorbeeld een relatief kleine IT-leverancier de Ahold's en KPN's van deze wereld als klant heeft, dan bestaat de kans dat een aansprakelijkheidsstelling hem uiteindelijk de kop kost. Alleen al vanwege het feit dat zijn grote klanten waarschijnlijk voldoende middelen hebben om uitgebreid te procederen en hijzelf wellicht niet." Het is dan ook verstandig om nadrukkelijk overeen te komen hoever de aansprakelijkheid reikt. Het is volgens Stark ook zaak dat verwerkingsverantwoordelijken kritisch durven te zijn met betrekking tot de vraag wat het risico in dezen precies is en hoe dit risico in de praktijk geminimaliseerd kan worden: "De aansprakelijkheidsbepaling zie ik als een vangnet aan de achterkant, maar juist het voorkomen van schade - oplossingen zoeken aan de voorkant - is bij dit soort vraagstukken relevant."

Tip 4: Wat te doen in het geval van een lek?

Een ongeluk zit in een klein hoekje. Het kan dan ook (onbedoeld) voorkomen dat er toch iets misgaat en dat persoonsgegevens worden gelekt. Stark: "Bij een verwerkersovereenkomst komen twee verschillende organisaties, met twee verschillende bedrijfsvoeringen, kijken. Het is daarom zinvol om tijdig met elkaar een vaste procedure af te spreken voor het geval dat er iets misgaat. Wie zijn de contactpersonen? Hoe zijn deze personen het gemakkelijkst en snelst te bereiken? Waar zit voor welke partij het meeste risico? Zaken om van tevoren goed over na te denken. Dit kan in het geval van een incident een schade beperkend effect met zich meebrengen."

De verwerkersovereenkomst is dus geen standaard document dat ook niet altijd in iedere situatie en op iedere rechtsverhouding van toepassing is. Het is daarom belangrijk te beoordelen of de contractspartner wel een verwerker of verwerkingsverantwoordelijke is en kritisch te zijn ten aanzien van de inhoud van de overeenkomst. "De afspraken die in de overeenkomst worden vastgelegd moeten goed worden bekeken en aansluiten op de relatie die beide contractspartners met elkaar hebben", concludeert Stark.