De Algemene Verordening Gegevensbescherming (AVG) verlangt een actieve houding van u als verwerkingsverantwoordelijke. Regelt u niets, dan kunt u aansprakelijk zijn voor schade veroorzaakt door uw verwerker.
In de) AVG wordt onderscheid gemaakt tussen de verwerkingsverantwoordelijke en de verwerker. Hebt u zich er inmiddels in verdiept wie uw verwerkers zijn?[1] En als u weet wie uw verwerkers zijn, weet u dan ook wat zij precies met de van u ontvangen persoonsgegevens doen? En in welk land of in welke applicatie zij deze gegevens opslaan? Veel organisaties zijn hiermee niet bekend, terwijl zij in beginsel onder de AVG wel aansprakelijk zijn voor het handelen van deze verwerkers. U leest het goed; ook als u er geen idee van hebt wat bijvoorbeeld uw ICT-dienstverlener met de gegevens doet die u in de cloud opslaat, kunt u toch aansprakelijk zijn wanneer er een datalek ontstaat.
Wie is uw verwerker?
Hoewel ik uw organisatie waarschijnlijk niet persoonlijk ken, ben ik er haast zeker van dat ook u gebruik maakt van verwerkers. Hoe ik dit weet? Eenvoudig, iedere externe organisatie of natuurlijke persoon die voor uw bedrijf en onder uw instructie persoonsgegevens verwerkt, is een verwerker. Is iedere organisatie met wie wordt samengewerkt dan ook direct een verwerker? Nee, leidend is dat de gegevensverwerking een service voor uw bedrijf is. Is de gegevensverwerking door de organisatie ook nodig voor hun eigen doeleinden, dan zal deze organisatie geen verwerker zijn, maar een verwerkingsverantwoordelijke. Denk aan de Belastingdienst die wellicht persoonsgegevens van u ontvangt wanneer u de aangifte loonbelasting voor uw eindklant instuurt. De Belastingdienst verwerkt deze gegevens vervolgens voor eigen doeleinden. De Belastingdienst is dan ook geen verwerker van u. Boekt u persoonsgegevens in een salarisadministratieprogramma, waarbij dit programma wordt gehost door een extern bedrijf, dan zal dit externe bedrijf wel een verwerker van u zijn. Andere voorbeelden van wie uw verwerker kunnen zijn: uw ICT-dienstverlener, cloud-aanbieder, externe salarisadministrateur, marketingbureau, telefoniedienst en noem zo maar op.
Aansprakelijkheid schending verplichtingen uit AVG
Onder de AVG geldt dat u zelf verantwoordelijk bent voor de schade die ontstaat door schending van de verplichtingen uit de AVG. Ook wanneer het uw verwerker is, die de schade heeft doen ontstaan. Dit komt voort uit uw verplichting om uitsluitend samen te werken met externe partijen die minimaal aan de verplichtingen voldoen, waar u zelf ook aan hebt te voldoen. En u hebt nu eenmaal met een heel aantal eisen van doen.
De verwerker kan slechts aansprakelijk zijn wanneer de schade is ontstaan, doordat deze verwerker niet aan de tot haar gerichte verplichtingen uit de AVG heeft voldaan of wanneer de verwerker buiten de rechtmatige instructies van u om heeft gehandeld. Wat mag hieronder worden verstaan:
- Een verwerker heeft altijd een zelfstandige verplichting tot goede beveiliging van de persoonsgegevens, ongeacht of u dit oplegt. De verwerker mag zich er dus niet achter verschuilen dat u onvoldoende aanwijzingen hebt gegeven met betrekking tot de beveiligingseisen. Zelfs niet wanneer u jaarlijks een audit laat uitvoeren.
- Een verwerker mag de van u ontvangen persoonsgegevens nooit voor andere doeleinden gebruiken, dan waartoe u deze hebt verstrekt. De enige uitzondering geldt wanneer u schriftelijk toestemming hebt gegeven voor een afwijkend doel, maar hiermee dient u uiterst voorzichtig te zijn. Voor u het weet gaat ook u met de gegeven toestemming uw boekje te buiten.
- Een verwerker mag ten aanzien van de persoonsgegevens slechts handelen zoals u dat hebt opgedragen. U geeft dus altijd de kaders waarbinnen de verwerking mag plaatsvinden. Ook wanneer u werkzaamheden uitbesteedt omdat u een gebrek aan specifieke kennis hebt, wordt u geacht degene te zijn die de verwerker oplegt op welke wijze hij/zij de persoonsgegevens mag verwerken.
Voorbeelden
Enkele voorbeelden om dit nader toe te lichten:
- U hebt uw verwerker een lijst met contactgegevens overhandigd en gevraagd alle personen op deze lijst namens u reclame toe te zenden. Het gaat om willekeurige ontvangers, dus niet om klanten aan wie u een product gerelateerd aanbod doet. Een ontvanger van deze reclame claimt dat u deze reclame op onrechtmatige wijze hebt toegezonden en hij hierdoor schade heeft geleden. Hoewel het uw verwerker is die de reclame heeft toegezonden, bent u aansprakelijk. U hebt immers aan de verwerker opdracht gegeven om de reclame te versturen.
- U hebt uw klantgegevens in een online portaal verwerkt. U hebt uw verwerker de instructie gegeven om inloggen slechts mogelijk te maken met tweefactorauthenticatie. Dit kan redelijkerwijs en zonder aanzienlijke kosten in het portaal worden ingebouwd, maar blijkt niet te zijn gebeurd. Onbevoegden hebben daardoor toegang gekregen tot het portaal. Dit heeft geleid tot een datalek. De betrokkene lijdt schade door het datalek en dient een schadeclaim in. In dit geval is gehandeld buiten uw rechtmatige instructies en kan wellicht de verwerker worden aangesproken. Let op, als de betrokkene ervoor kiest om toch u aan te spreken, zult u zich op de verwerker moeten verhalen. U mag de betrokkene in dat geval niet de deur wijzen, omdat u meent dat de verwerker de aan te spreken partij is.
Ik houd bewust een slag om de arm, omdat de daadwerkelijke mogelijkheid tot aansprakelijkheidstelling altijd afhankelijk is van alle omstandigheden van het geval.
Wat kunt u doen?
U zult regelmatig een verwerker inschakelen, omdat u zelf niet over alle benodigde kennis en kunde beschikt behorend bij een opdracht. Dat kan zijn omdat u over onvoldoende capaciteit beschikt of simpelweg omdat u voor uw werk over een online portaal of overige gegevensverwerkende software moet beschikken. Het zal voor u in veel gevallen haast onmogelijk zijn om goede instructies te geven. Als ik voor mijzelf spreek, dan heb ik weinig kennis van ICT. Mijn ICT-dienstverlener is echter wel mijn verwerker, zodat ik word geacht hem te instrueren ten aanzien van de gegevensverwerking. Daarom is het belangrijk om altijd samen te werken met serieuze partijen, die zelf goed op de hoogte zijn van de verplichtingen rondom de verwerking en beveiliging van persoonsgegevens.
Goede verwerkersovereenkomst aanbieden aan verwerkers
Daarnaast is het aan te bevelen om een goede verwerkersovereenkomst aan te bieden aan uw verwerkers. In de verwerkersovereenkomst kunt u vastleggen op welke momenten de verwerker aanvullend aansprakelijk zal zijn en de door u geleden schade moet vergoeden. Denk hierbij aan boetes opgelegd door de Autoriteit Persoonsgegevens, schadeclaims van betrokkenen, geleden reputatieschade en meer. Een verwerkersovereenkomst is dus zeker geen loos document dat u slechts sluit omdat dit onder de AVG verplicht is! Teken ook nooit ongezien een verwerkersovereenkomst die u van uw verwerker ontvangt; als zij verstandig zijn, sluiten zij in dit document aansprakelijkheden zoveel mogelijk uit, terwijl u de verwerker juist wél aansprakelijk zult willen kunnen stellen.
Kortom, de AVG verlangt een actieve houding van u als verwerkingsverantwoordelijke. Niets doen of ongezien een handtekening plaatsen onder een verwerkersovereenkomst kan nu vanwege het besparen van tijd en advieskosten aantrekkelijk ogen, maar kan op de langere termijn vele malen kostbaarder uitpakken. Regelt u niets, dan zult u in de meeste gevallen immers inderdaad aansprakelijk zijn voor schade veroorzaakt door uw verwerker.
Melanie Hermes is advocaat arbeidsrecht | AVG specialist | als trainer verbonden aan Fiscount
[1] In deze bijdrage ga ik uit van de situatie waarin u verwerkingsverantwoordelijke bent. Laat u zich goed informeren wanneer u verwerkingsverantwoordelijke of juist verwerker bent.
Hoe richt jij jouw organisatie voldoende Wwft- en AVG-proof in? Waar moet je op letten tijdens een adviesgesprek en wat mag nog wel en wat mag niet meer? In de cursus Update Wwft & AVG wordt wat dieper ingegaan op beide onderwerpen en wordt een update gegeven van de laatste stand van zaken.
Geef een reactie