De verschillende soorten afspraken bij de uitwisseling van persoonsgegevens

Veel mensen denken dat bij iedere uitwisseling van persoonsgegevens een verwerkingsovereenkomst moet worden gesloten. In een eerdere blog legde ik al uit dat dit niet juist is. Wat moet er dan wel worden geregeld? In deze blog sta ik daar nader bij stil.

Verschillende vormen van uitwisseling

Het uitwisselen van persoonsgegevens gebeurt in verschillende situaties:

1. uitbesteden;
2. doorgeven
3. samenwerken.

Ik zal hierna kort stilstaan bij deze situaties.

Situatie 1: uitbesteden

Het komt heel vaak voor dat bedrijfsprocessen worden uitbesteed. Denk aan het afnemen van IT-diensten vanuit de cloud (in plaats van een eigen IT-afdeling) of het gebruik van een externe salarisadministratie.

Vaak behoort het verwerken van persoonsgegevens tot de kern van deze uitbestede werkzaamheden. Je kunt immers geen IT-systeem in de lucht houden zonder gebruikersnamen en je kunt geen salaris verwerken zonder gegevens over die werknemers te ontvangen.

In degelijke situaties kwalificeert die leverancier volgens de privacywetgeving als "verwerker". Het is in die gevallen wettelijk verplicht een verwerkingsovereenkomst te sluiten. Dat staat in artikel 28 van de Algemene Verordening Gegevensbescherming (AVG). De AVG schrijft ook dwingend voor welke onderwerpen in zo'n overeenkomst aan de orde moeten komen. De vorm is echter vrij; de wet schrijft niet een modelcontract voor.

Verder zegt de wet dat u vooraf moet toetsen of de leverancier wel betrouwbaar is en dat u gedurende de looptijd van de overeenkomst moet toezien dat deze de persoonsgegevens zorgvuldig verwerkt.

Kenmerkend aan de rol van verwerker is dat deze de persoonsgegevens absoluut niet voor eigen doeleinden mag gebruiken.

Situatie 2: doorgeven

Een hele andere situatie is die waar persoonsgegevens worden doorgegeven. De ontvangende partij verwerkt de gegevens dan verder voor eigen doeleinden.

Denk hierbij aan

• het doorgeven van gegevens van werknemers door een werkgever aan een pensioenfonds of een leasemaatschappij;
• het doorgeven van gegevens door een medicus aan een opvolgend behandelaar;
• het doorgeven van adresgegevens aan een bezorgservice;
• het doorgeven van adresgegevens aan een onderhoudsbedrijf door een woningbouwvereniging.

In al deze situaties moet aan de hand van de privacywetgeving worden getoetst of doorgifte is toegestaan. Dat betekent dat o.a. moet worden nagedacht over:

• proportionaliteit en subsidiariteit: is de doorgifte noodzakelijk, worden niet teveel gegevens doorgegeven, etc.?
• grondslag: ligt de doorgifte dicht bij de verwachting van betrokkene, is deze wettelijk verplicht of is wellicht toestemming nodig?
• doelbinding: past de doorgifte bij de redenen waarvoor de gegevens zijn verkregen?
• transparantie: weet de betrokkene van de doorgifte of kan hij deze verwachten?
• beveiliging: is de doorgifte goed beveiligd?
• bij bijzondere persoonsgegevens: is de doorgifte wettelijk toegestaan of is er toestemming van de betrokkene?
• etc. etc. (ik werk niet alle eisen uit)

De wet schrijft niet voor dat er bij doorgifte een overeenkomst is. Toch kan dat wel verstandig zijn. In overeenkomst kunnen afspraken worden gemaakt over o.a. transparantie (wie informeert: verstrekker of ontvanger?), beveiliging (hoe vindt veilige uitwisseling plaats?) en de ketenverplichtingen bij uitoefenen van rechten van betrokkenen (m.n. doorgeven van correctieverzoeken). Ook over aansprakelijkheid is het verstandig afspraken te maken, voor het geval geclaimd wordt dat de doorgifte niet rechtmatig zou zijn.

Kenmerkend aan doorgifte is dat de ontvangende partij, behoudens andere afspraken, in principe vrij is de persoonsgegevens verder te verwerken (binnen wettelijke kaders). Dit verschilt dus sterk van de verwerkerssituatie. In deze situatie moet ook absoluut geen verwerkersovereenkomst worden getekend!

Situatie 3: samenwerken

In de 3e situatie verwerken twee of meer partijen samen persoonsgegevens voor dezelfde doeleinden. Dat speelt bijvoorbeeld wanneer partijen zo intensief samenwerken dat van doorgifte als hiervoor bedoeld geen sprake meer is. Er is dan veeleer sprake van een gezamenlijke administratie.

In artikel 26 AVG is bepaald dat de samenwerkende partijen een regeling moeten vaststellen. In die regeling moet de verdeling van verantwoordelijkheden duidelijk worden vastgelegd, met name in relatie tot de betrokkene. De kern van die regeling moet aan de betrokkene kenbaar worden gemaakt.

Er moet dus in deze situatie een overeenkomst zijn. Naast de verdeling van verantwoordelijkheden (zie hiervoor), is het ook verstandig afspraken te maken hoe overigens samen te voldoen aan de privacywetgeving. Partijen voeren immers een gezamenlijke administratie en zij kunnen daar hoofdelijk op worden aangesproken. Verder zal er een duidelijke exit-regeling moeten zijn, waaruit volgt of (de gegevens uit) die gezamenlijke administratie ook na de samenwerking nog door partijen mogen worden gebruikt.

Een overeenkomst is altijd verstandig

U ziet het: het is verstandig bij de uitwisseling van persoonsgegevens altijd (beperkte of uitgebreide) afspraken te maken over de privacy. In situatie 1 en 3 is dat verplicht, in situatie 2 is het veelal ook verstandig. Iedere situatie vergt zijn eigen contract

Vragen?

Heeft u vragen over het voorgaande of andere aspecten van het privacyrecht? Neem gerust contact op, wij kunnen u verder helpen.