Een verwerker is tot van alles verplicht, maar niet om gratis te werken

17 december 2020, laatst geüpdatet 11 september 2024
De AVG legt diverse verplichtingen op aan verwerkers. Ook eist de AVG dat verwerkingsverantwoordelijken allerlei verplichtingen opleggen aan verwerkers. Sommige mensen denken dat dit (dus) betekent dat verwerkers al die (verplichte) werkzaamheden kosteloos moeten verrichten. Dat is niet juist.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

De AVG legt diverse verplichtingen op aan verwerkers. Ook eist de AVG dat verwerkingsverantwoordelijken allerlei verplichtingen opleggen aan verwerkers. Sommige mensen denken dat dit (dus) betekent dat verwerkers al die (verplichte) werkzaamheden kosteloos moeten verrichten. Dat is niet juist.

Verwerkingsverantwoordelijke en verwerker

De AVG onderscheidt twee rollen: de "verwerkingsverantwoordelijke" en de "verwerker".

  1. Verwerkingsverantwoordelijke. Iedere partij die doel en middelen bepaalt van een verwerking is verwerkingsverantwoordelijke (volgens rechtspraak is "invloed hebben op" de verwerking al voldoende).
  2. Verwerker. De verwerker is juist een externe partij waaraan een (deel van) een verwerking is uitbesteed.

Verplichtingen verwerkers

De meeste regels en voorschriften uit de AVG zijn van toepassing op de "verwerkingsverantwoordelijke".

De AVG kent enkele verplichtingen die rechtstreeks van toepassing zijn op de "verwerker". Te denken valt aan:

  1. aanwijzen vertegenwoordiger: niet in de EU gevestigde verwerkers moeten een vertegenwoordiger aanwijzen (artikel 27 lid 1 AVG);
  2. verbod subverwerking / onderaanneming: verwerkers mogen niet zonder toestemming van de verwerkingsverantwoordelijke een verwerking zelf verder uitbesteden (artikel 28 lid 2 AVG);
  3. verplichting overeenkomst subverwerker: als er wel wordt uitbesteed, dan moet dat schriftelijk worden vastgelegd (artikel 28 lid 4 AVG);
  4. uitsluitend handelen in opdracht verwerkingsverantwoordelijke: de verwerker mag uitsluitend persoonsgegevens verwerken in opdracht van de verwerkingsverantwoordelijke (artikel 29 AVG);
  5. registerplicht: de verwerker houdt een eigen verwerkingsregister bij (artikel 30 AVG);
  6. beveiligingsplicht: op de verwerker rust een zelfstandige plicht de verwerkte persoonsgegevens op passende wijze te beveiligen (artikel 32 lid 1 AVG);
  7. melding datalek: de verwerker moet een datalek melden aan de verwerkingsverantwoordelijke (artikel 33 lid 2 AVG);
  8. aanwijzen FG: een verwerker moet onder omstandigheden een functionaris gegevensbescherming aanastellen (artikel 37 lid 1 AVG);
  9. verbod doorgifte: persoonsgegevens mogen niet worden doorgegeven naar buiten de EU tenzij passende waarborgen zijn getroffen (hoofdstuk V verordening).

Door te leggen verplichtingen aan verwerkers

Daarnaast bepaalt de AVG in artikel 28 dat de verwerkingsverantwoordelijke contractueel allerlei verplichtingen moet opleggen aan de verwerker. Dat ziet dan o.m. op de verplichting om:

  1. louter op instructie: persoonsgegevens slechts te verwerken op instructie van de verwerkingsverantwoordelijke (artikel 28 lid 3 sub a AVG);
  2. vertrouwelijkheid: borgen dat de personen die toegang hebben tot de gegevens vertrouwelijkheid in acht nemen (artikel 28 lid 3 sub b AVG);
  3. beveiligingsmaatregelen: alle eisen ter zake van beveiliging moeten worden opgevolgd (artikel 28 lid 3 sub c AVG);
  4. eisen subverwerker: die hiervoor beschreven wettelijke eisen rondom het inhuren van een subverwerker moeten ook contractueel worden vastgelegd (artikel 28 lid 3 sub d AVG);
  5. medewerking rechten betrokkenen: de verwerker moet bijstand verlenen aan de verwerkingsverantwoordelijke wanneer deze de uitoefening van rechten van betrokkenen beantwoordt (artikel 28 lid 3 sub e AVG);
  6. bijstand beveiliging, datalekken en DPIA: de verwerkingsverantwoordelijke redelijke ondersteuning biedt bij beveiligingsincidenten en het uitvoeren van gegevensbeschermingseffectbeoordelingen (artikel 28 lid 3 sub f AVG);
  7. teruglevering of vernietiging: na afloop de persoonsgegevens terug te leveren of te vernietigen (artikel 28 lid 3 sub g AVG);
  8. controle en audit: informatie aan te leveren en medewerking te verlenen aan controles en audits (artikel 28 lid 3 sub h AVG).

Nergens iets over prijzen

In de wet staat nergens iets over de te hanteren prijzen of iets dergelijks. Dat is ook logisch; dat is niet aan de wetgever.

Het is hooguit aan de wetgever om te bepalen dat er voor werkzaamheden betaald moet worden. En dat staat ook in de wet, namelijk in artikel 7:405 BW. De overeenkomst tot het verwerken van persoonsgegevens is namelijk een overeenkomst van opdracht. En voor opdrachten is loon verschuldigd. Als de overeenkomst daarover niets bepaalt, dan is een redelijk loon verschuldigd. Zie bijvoorbeeld ook de Hoge Raad daarover:

3.6.1 Indien de opdrachtnemer krachtens een in de uitoefening van zijn beroep of bedrijf aangegane overeenkomst werkzaamheden heeft verricht waarvoor de overeenkomst geen vergoeding bepaalt, terwijl ook onvoldoende duidelijke aanknopingspunten bestaan om het loon op de gebruikelijke wijze te berekenen (bijvoorbeeld door het aantal gewerkte uren te vermenigvuldigen met het gebruikelijke uurloon), is de opdrachtgever ingevolge art. 7:405 lid 2 een redelijk loon verschuldigd. Wat in een concreet geval als een "redelijk" loon heeft te gelden, zal onder meer afhangen van de aard en - zo nodig schattenderwijs te bepalen - omvang van de verrichte werkzaamheden en van hetgeen in de desbetreffende branche in het algemeen gebruikelijk is. (...)

Verwerker hoeft niet gratis te werken

Er staat dus nergens in de AVG dat de verwerker gratis hoeft te werken. Dat staat ook in geen enkele andere wet. En dat is - tenzij het communisme ingevoerd zou worden - ook logisch.

Tenzij de overeenkomst anders bepaalt, door bijvoorbeeld een all-in vergoeding of iets dergelijks te vermelden, moet voor meerwerk dus gewoon worden betaald.

Maak heldere afspraken

Het is voor beide partijen dus zaak helder te hebben welke werkzaamheden wel en niet inbegrepen zijn bij de prijs die is overeengekomen.

Het is ook voor beide partijen van belang hierin reëel te zijn. Zo lijkt het wellicht voor de afnemer prettig om te bepalen dat alle denkbare (verwerkers)werkzaamheden zijn inbegrepen in de overeengekomen vergoeding, maar dat zal er alleen maar toe leiden dat de leverancier een risico-opslag in de prijzen gaat verdisconteren. En logisch ook. De vraag is of het niet logischer is om juist de werkzaamheden die maar incidenteel zullen voorkomen, op basis van nacalculatie te laten afwikkelen, in plaats van die in te prijzen.

Vragen over verwerkersovereenkomsten?

Heeft u vragen over het voorgaande? Neem gerust contact op. We kennen de positie van zowel afnemers als leveranciers en proberen een reële balans te zoeken.

Gerelateerd

Gebalanceerde stenen

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...
vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.
No posts found