De juiste overeenkomst met externe partijen

Als uw organisatie samenwerkt met andere partijen, kan het zijn dat u een overeenkomst moet sluiten. Soms is het niet duidelijk wanneer er een dergelijke overeenkomst gesloten dient te worden en hoe deze er uit moet zien. In dit derde deel van de emailreeks 'Hoe staat uw organisatie er sinds de AVG voor?' licht ik de verschillende overeenkomsten verder toe.

Verschillende rollen en bijbehorende overeenkomsten

Wanneer uw organisatie samenwerkt met een andere partij bij het verwerken van persoonsgegevens, moet u afspraken maken over het gebruik van de persoonsgegevens. Dit is verplicht bij externe partijen die optreden als verwerkers en gezamenlijke verwerkingsverantwoordelijken. Het schriftelijk vastleggen van deze afspraken gebeurt in de verwerker-relatie in een zogeheten “verwerkersovereenkomst” en in een relatie met een gezamenlijke verwerkingsverantwoordelijke via bijvoorbeeld een “gezamenlijke verwerkingsverantwoordelijke overeenkomst”.

Indien een organisatie persoonsgegevens deelt met een externe zelfstandig verwerkingsverantwoordelijke, hoeven er in principe geen afspraken gemaakt te worden. In sommige gevallen hebben organisaties hier echter wel een voorkeur voor, om zo te kunnen afdwingen dat beide partijen zorgvuldig met de persoonsgegevens omgaan.

Wanneer kwalificeer je als verwerker?

Om als verwerker te kwalificeren, is het essentieel dat de externe partij in diens hoedanigheid als verwerker enkel en alleen persoonsgegevens verwerkt in opdracht van en onder duidelijke instructies van de verwerkingsverantwoordelijke. De externe partij mag geen eigen doeleinden bepalen voor het verwerken van persoonsgegevens waarvoor zij niet verwerkingsverantwoordelijke is.

Tevens is het van belang, om als verwerker aangemerkt te worden, dat de primaire dienstverlening van de derde partij het verwerken van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke is. Dit betekent dat het verwerken van persoonsgegevens niet een uitvloeisel mag zijn van de werkelijk geleverde diensten of producten aan de verwerkingsverantwoordelijke.

Het is bijvoorbeeld een uitvloeisel van de dienstverlening wanneer een organisatie opdracht geeft aan een assessment center om potentiële werknemers te screenen op kennis en kunde voor de specifieke functie: het assessment center heeft als primaire dienstverlening het screenen van kandidaten, niet het verwerken van persoonsgegevens ten behoeve van de screening die de opdrachtgever zelf uitvoert.

Aanpak

Er is ten aanzien van externe partijen geen ‘one size fits all’ principe. Per relatie moet u een beoordeling maken van wat uw rol is en of de externe partij als verwerker of als (gezamenlijk) verwerkingsverantwoordelijke kan worden gekwalificeerd. Dat is in sommige gevallen erg lastig.

Om tot die beoordeling te kunnen komen helpen de volgende twee stappen: 

  1. Maak eerst een overzicht van alle externe partijen met wie uw organisatie persoonsgegevens uitwisselt. Een goed startpunt hiervoor kan uw register van verwerkingsactiviteiten zijn of – indien aanwezig – de afdeling Sourcing/Inkoop, die alle contracten beheert.
  2. Beoordeel de relaties met deze partijen aan de hand van een aantal kernvragen, zoals wie het doel en de middelen bepaalt (wie heeft zeggenschap over de gegevensverwerking?).

Wanneer het komt tot het afsluiten van een verwerkersovereenkomst of gezamenlijke verantwoordelijke overeenkomst, lijkt dit echter makkelijker dan in praktijk veelal het geval is.

De discussie begint meestal met de vraag welke overeenkomst van welke partij gebruikt zal worden. Vervolgens is er inhoudelijk gezien vaak discussie over dezelfde bepalingen, namelijk ten aanzien van datalekken, sub-verwerkers, audits en aansprakelijkheid. Het voeren van die discussie kan erg lastig zijn als u de mogelijke implicaties niet helder voor ogen heeft.

Heeft u inzichtelijk welke relatie er is tussen onze organisatie en de externe partij?

Considerati helpt u graag inzicht te krijgen in de externe partijen waarmee u persoonsgegevens uitwisselt en het afsluiten van de juiste overeenkomsten. Neem gerust contact op voor meer informatie.

Bart Schermer Partner