Column


IT-jurist Peter van Schelven over...

AVG: openbreken van bestaande contracten?

Stel, je schakelt voor het voeren van jouw bedrijfsadministratie een externe partij in. Als in die administratie persoonsgegevens voorkomen, moet je onder de huidige Wet bescherming persoonsgegevens (Wbp) een bewerkersovereenkomst sluiten met de provider. Onder de Algemene Verordening Gegevensbescherming is dat niet anders, al heeft de AVG het over verwerkerscontracten. Maar hoe zit het onder de AVG met bewerkerscontracten die in het verleden op basis van de Wbp zijn gesloten? Moeten die worden aangepast aan de AVG?

Het juridische antwoord is eenvoudig: bewerkerscontracten die bijvoorbeeld in 2015 zijn aangegaan en dus nog volledig op de Wbp zijn gebaseerd, beantwoorden in de regel niet aan de eisen die de AVG aan deze contracten stelt. Zij moeten worden aangepast.

De AVG eerbiedigt in die zin bestaande contractuele verhoudingen dus niet. De Europese wetgever had in het kader van het overgangsrecht in theorie ook voor een andere optie – het respecteren van lopende bewerkerscontracten – kunnen kiezen, maar heeft dat niet gedaan. De AVG noopt dus tot herziening van lopende bewerkersafspraken. Ook de Autoriteit Persoonsgegevens gaat van die gedachte uit.

De inzichtelijke keten
Vergelijk je de eisen die de Wbp aan deze contracten stelt met die van de AVG, dan zie je een forse inhoudelijke verzwaring. Zo bevat de Wbp geen regels voor het geval een bewerker een subcontractor – bijvoorbeeld een subhost – inschakelt. In de AVG is echter bepaald dat het verwerkerscontract afspraken moet bevatten voor het geval de verwerker een subverwerker wenst in te zetten, maar ook voor het geval de verwerker gedurende zijn dienstverlening naar een andere subverwerker overstapt.

De inschakeling en wijziging van een subverwerker vereisen dus de toestemming van de opdrachtgever. Op die manier beoogt de AVG de opdrachtgever meer zicht en grip te geven op de keten van partijen die bij de verwerking van persoonsgegevens betrokken worden. Voor de contractspraktijk is dat verre van gemakkelijke kost.

Aansprakelijkheid voor falende security
Ik loop meer dan eens aan tegen verwerkers die er niet veel voor voelen om bestaande contractuele afspraken met hun opdrachtgevers ter discussie te stellen of open te breken. Immers, de contractspraktijk laat zien dat klanten die lopende afspraken AVG-proof wensen te maken niet zelden het moment aangrijpen om ook andere, niet door de AVG verlangde verplichtingen en lasten op het bordje van de verwerker te leggen.

Een voorbeeld. Opdrachtgevers pogen meer dan eens de verwerker in het verwerkerscontract op te zadelen met een niet geplafonneerd risico voor de aansprakelijkheid voor schade wegens benedenmaatse security. Dat kan voor verwerkers uiteraard een buitensporig zwaar risico zijn, zeker als het aansprakelijkheidsrisico in schril contrast staat met de vergoeding die voor de dienstverlening ontvangen wordt. De AVG kent echter geen regel die zegt dat de verwerker tegenover zijn opdrachtgever ongelimiteerd op de blaren moet zitten als de security onverhoopt faalt.

Toch zie je meer dan eens dat bij de herziening van lopende bewerkersafspraken dergelijke zaken op tafel worden gelegd. Het levert tussen opdrachtgevers en opdrachtnemers (verwerkers) over en weer soms forse irritaties en frustraties op. De impact van de AVG op de contractspraktijk is ronduit groot.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

U kunt zich hier inschrijven voor het GDPR impact seminar

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht