De AVG legt diverse verplichtingen op aan verwerkers. Ook eist de AVG dat verwerkingsverantwoordelijken allerlei verplichtingen opleggen aan verwerkers. Sommige mensen denken dat dit (dus) betekent dat verwerkers al die (verplichte) werkzaamheden kosteloos moeten verrichten. Dat is niet juist.
Verwerkingsverantwoordelijke en verwerker
De AVG onderscheidt twee rollen: de "verwerkingsverantwoordelijke" en de "verwerker".
- Verwerkingsverantwoordelijke. Iedere partij die doel en middelen bepaalt van een verwerking is verwerkingsverantwoordelijke (volgens rechtspraak is "invloed hebben op" de verwerking al voldoende).
- Verwerker. De verwerker is juist een externe partij waaraan een (deel van) een verwerking is uitbesteed.
Verplichtingen verwerkers
De meeste regels en voorschriften uit de AVG zijn van toepassing op de "verwerkingsverantwoordelijke".
De AVG kent enkele verplichtingen die rechtstreeks van toepassing zijn op de "verwerker". Te denken valt aan:
- aanwijzen vertegenwoordiger: niet in de EU gevestigde verwerkers moeten een vertegenwoordiger aanwijzen (artikel 27 lid 1 AVG);
- verbod subverwerking / onderaanneming: verwerkers mogen niet zonder toestemming van de verwerkingsverantwoordelijke een verwerking zelf verder uitbesteden (artikel 28 lid 2 AVG);
- verplichting overeenkomst subverwerker: als er wel wordt uitbesteed, dan moet dat schriftelijk worden vastgelegd (artikel 28 lid 4 AVG);
- uitsluitend handelen in opdracht verwerkingsverantwoordelijke: de verwerker mag uitsluitend persoonsgegevens verwerken in opdracht van de verwerkingsverantwoordelijke (artikel 29 AVG);
- registerplicht: de verwerker houdt een eigen verwerkingsregister bij (artikel 30 AVG);
- beveiligingsplicht: op de verwerker rust een zelfstandige plicht de verwerkte persoonsgegevens op passende wijze te beveiligen (artikel 32 lid 1 AVG);
- melding datalek: de verwerker moet een datalek melden aan de verwerkingsverantwoordelijke (artikel 33 lid 2 AVG);
- aanwijzen FG: een verwerker moet onder omstandigheden een functionaris gegevensbescherming aanastellen (artikel 37 lid 1 AVG);
- verbod doorgifte: persoonsgegevens mogen niet worden doorgegeven naar buiten de EU tenzij passende waarborgen zijn getroffen (hoofdstuk V verordening).
Door te leggen verplichtingen aan verwerkers
Daarnaast bepaalt de AVG in artikel 28 dat de verwerkingsverantwoordelijke contractueel allerlei verplichtingen moet opleggen aan de verwerker. Dat ziet dan o.m. op de verplichting om:
- louter op instructie: persoonsgegevens slechts te verwerken op instructie van de verwerkingsverantwoordelijke (artikel 28 lid 3 sub a AVG);
- vertrouwelijkheid: borgen dat de personen die toegang hebben tot de gegevens vertrouwelijkheid in acht nemen (artikel 28 lid 3 sub b AVG);
- beveiligingsmaatregelen: alle eisen ter zake van beveiliging moeten worden opgevolgd (artikel 28 lid 3 sub c AVG);
- eisen subverwerker: die hiervoor beschreven wettelijke eisen rondom het inhuren van een subverwerker moeten ook contractueel worden vastgelegd (artikel 28 lid 3 sub d AVG);
- medewerking rechten betrokkenen: de verwerker moet bijstand verlenen aan de verwerkingsverantwoordelijke wanneer deze de uitoefening van rechten van betrokkenen beantwoordt (artikel 28 lid 3 sub e AVG);
- bijstand beveiliging, datalekken en DPIA: de verwerkingsverantwoordelijke redelijke ondersteuning biedt bij beveiligingsincidenten en het uitvoeren van gegevensbeschermingseffectbeoordelingen (artikel 28 lid 3 sub f AVG);
- teruglevering of vernietiging: na afloop de persoonsgegevens terug te leveren of te vernietigen (artikel 28 lid 3 sub g AVG);
- controle en audit: informatie aan te leveren en medewerking te verlenen aan controles en audits (artikel 28 lid 3 sub h AVG).
Nergens iets over prijzen
In de wet staat nergens iets over de te hanteren prijzen of iets dergelijks. Dat is ook logisch; dat is niet aan de wetgever.
Het is hooguit aan de wetgever om te bepalen dat er voor werkzaamheden betaald moet worden. En dat staat ook in de wet, namelijk in artikel 7:405 BW. De overeenkomst tot het verwerken van persoonsgegevens is namelijk een overeenkomst van opdracht. En voor opdrachten is loon verschuldigd. Als de overeenkomst daarover niets bepaalt, dan is een redelijk loon verschuldigd. Zie bijvoorbeeld ook de Hoge Raad daarover:
3.6.1 Indien de opdrachtnemer krachtens een in de uitoefening van zijn beroep of bedrijf aangegane overeenkomst werkzaamheden heeft verricht waarvoor de overeenkomst geen vergoeding bepaalt, terwijl ook onvoldoende duidelijke aanknopingspunten bestaan om het loon op de gebruikelijke wijze te berekenen (bijvoorbeeld door het aantal gewerkte uren te vermenigvuldigen met het gebruikelijke uurloon), is de opdrachtgever ingevolge art. 7:405 lid 2 een redelijk loon verschuldigd. Wat in een concreet geval als een "redelijk" loon heeft te gelden, zal onder meer afhangen van de aard en - zo nodig schattenderwijs te bepalen - omvang van de verrichte werkzaamheden en van hetgeen in de desbetreffende branche in het algemeen gebruikelijk is. (...)
Verwerker hoeft niet gratis te werken
Er staat dus nergens in de AVG dat de verwerker gratis hoeft te werken. Dat staat ook in geen enkele andere wet. En dat is - tenzij het communisme ingevoerd zou worden - ook logisch.
Tenzij de overeenkomst anders bepaalt, door bijvoorbeeld een all-in vergoeding of iets dergelijks te vermelden, moet voor meerwerk dus gewoon worden betaald.
Maak heldere afspraken
Het is voor beide partijen dus zaak helder te hebben welke werkzaamheden wel en niet inbegrepen zijn bij de prijs die is overeengekomen.
Het is ook voor beide partijen van belang hierin reëel te zijn. Zo lijkt het wellicht voor de afnemer prettig om te bepalen dat alle denkbare (verwerkers)werkzaamheden zijn inbegrepen in de overeengekomen vergoeding, maar dat zal er alleen maar toe leiden dat de leverancier een risico-opslag in de prijzen gaat verdisconteren. En logisch ook. De vraag is of het niet logischer is om juist de werkzaamheden die maar incidenteel zullen voorkomen, op basis van nacalculatie te laten afwikkelen, in plaats van die in te prijzen.
Vragen over verwerkersovereenkomsten?
Heeft u vragen over het voorgaande? Neem gerust contact op. We kennen de positie van zowel afnemers als leveranciers en proberen een reële balans te zoeken.