Avg uitgelegd: Wat is een sub-verwerker?
In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: is de Avg nog helemaal nieuw voor je? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op het begrip sub-verwerker. Wat is het? En hoe ga je er mee om?
Voor het laatst bijgewerkt in juni 2022.
Wat is een sub-verwerker?
Het komt vaak voor dat je als verwerker contracten hebt gesloten of gaat sluiten met onder-opdrachtnemers die een deel van de uitvoering van de opgedragen verwerkingshandelingen (zullen) verrichten. Denk hierbij aan een externe hostingpartij, aan een partij die beheerstaken verricht of aan een partij die een SaaS-dienst aanbiedt op het gebied van bijvoorbeeld salarisverwerking. Een door jou als verwerker in te schakelen andere verwerker wordt in de praktijk ook wel een ‘sub-verwerker’ genoemd.
Personen die onder het rechtstreekse gezag van de verwerker (of verwerkingsverantwoordelijke) verwerkingshandelingen verrichten/werken en toegang hebben tot persoonsgegevens, zijn geen sub-verwerkers. Dit zijn personen die ondergeschikt zijn aan jou als verwerker (of verwerkingsverantwoordelijke). Denk hierbij aan je personeel. Of wanneer er op een andere wijze sprake is van een rechtstreekse gezagsverhouding. Denk bijvoorbeeld aan een gedetacheerde medewerker die jouw instructies dient te volgen.
Heb ik extra toestemming nodig voor een sub-verwerker?
Je hebt als verwerker de specifieke of algemene toestemming van de verwerkingsverantwoordelijke(n) nodig voordat je een sub-verwerker mag inzetten.
Het verlenen van algemene toestemming komt het meest tegemoet aan de praktijk. Het is tenslotte voor jou als verwerker niet efficiënt als je vooraf aan al jouw honderden klanten (de verwerkingsverantwoordelijken) toestemming moet vragen voordat je een nieuwe sub-verwerker kan contracteren en inzetten. Dit is tijdrovend, omslachtig en voegt niet meer toe aan de ratio van de Avg dan het werken met een algemene toestemming.
In de standaard verwerkersovereenkomst van NLdigital hebben we zo’n algemene toestemming opgenomen. Als de klant algemene toestemming verleent (verwerkingsverantwoordelijke), dan moet je als verwerker je klanten informeren over het inzetten van nieuwe sub-verwerkers of het vervangen van bestaande sub-verwerkers. Je klant heeft op grond van de Avg het recht hiertegen bezwaar te maken.
Wat voor afspraken moet ik met een sub-verwerker maken?
De Avg (artikel 28 lid 4) verplicht jou als verwerker om met jouw sub-verwerkers bindende afspraken te maken (bijvoorbeeld in de vorm van een sub-verwerkersovereenkomst). Hierin komt de sub-verwerker back-to-back dezelfde verplichtingen overeen ten aanzien van de bescherming van de persoonsgegevens als waaraan jijzelf bent gebonden. Omdat je een sub-verwerker veelal inzet voor het verrichten van werkzaamheden voor meerdere, zo niet al je, klanten, is het raadzaam om je eigen verwerkersovereenkomst te gebruiken. Dan ben je goed in staat om de verplichtingen back-to-back te regelen met de sub-verwerker en is de keten verwerkingsverantwoordelijke – verwerker – sub-verwerker geborgd.
Het is vooral van belang dat de sub-verwerker zich committeert tot minimaal eenzelfde beveiligingsniveau ten aanzien van de verwerking van persoonsgegevens als het beveiligingsniveau waaraan je je als verwerker zelf jegens je klanten (verwerkingsverantwoordelijken) hebt gebonden. Als de sub-verwerker deze verplichtingen niet nakomt, blijf je als verwerker op grond van de Avg tegenover jouw klanten verantwoordelijk (en aansprakelijk) voor het nakomen van die verplichtingen. De bedoeling van deze bepaling is dat je als verwerker (tegenover jouw klanten) verantwoordelijk en aansprakelijk blijft voor nakoming, alsof je de verwerkingshandelingen niet had uitbesteed aan de sub-verwerker. Het is dus zaak om zorgvuldig je sub-verwerkers te kiezen.
Hoe sluit ik een overeenkomst af met een sub-verwerker?
Om in de keten te borgen dat je als verwerker back-to-back dezelfde verplichtingen aan je sub-verwerkers oplegt, kan je de Standaard verwerkersovereenkomst van NLdigital gebruiken. Om dit te faciliteren, spreekt deze verwerkersovereenkomst niet van ‘verwerkingsverantwoordelijke’ maar van ‘opdrachtgever’. Dit omvat zowel de verwerkingsverantwoordelijke klant, als jij als verwerker. De Standaard verwerkersovereenkomst bestaat uit twee delen: de Standaardclausules voor verwerkingen (deze blijven ongewijzigd ongeacht wie deze hanteert, de klant of jij als verwerker) en het Data Pro Statement. Het Data Pro Statement is het deel dat specifiek wordt afgestemd op de door jouw of de (sub-)verwerker te verlenen diensten en praktische invulling van Avg-verplichtingen. In de Standaardclausules voor verwerkingen zijn alle algemene onderwerpen opgenomen die op basis van artikel 28 lid 3 Avg in een verwerkersovereenkomst moeten worden geregeld.
Wat als mijn sub-verwerker in het buitenland zit?
Als je sub-verwerker gevestigd is in een land buiten de EU/EER, zal je ook moeten voldoen aan de Avg-regels over doorgifte van persoonsgegevens naar zogenaamde ‘derde landen’. Derde landen zijn de landen die niet behoren tot de EU/EER. Tot de Europese Economische Ruimte (EER) behoren alle EU lidstaten en IJsland, Liechtenstein en Noorwegen. Op basis van de Avg mag je alleen persoonsgegevens doorgeven naar ‘derde landen’, als het ontvangende land waarin de sub-verwerker gevestigd is, dan wel de sub-verwerker zelf, een passend niveau van bescherming waarborgt:
- Check of er voor dit land/gebied/sector/internationale organisatie een adequaatheidsbesluit van de Europese Commissie van toepassing is. Het oude adequaatheidsbesluit is vooralsnog in stand gebleven en er is een nieuw land toegevoegd. De volgende landen hebben volgens de Europese Commissie op dit moment een passend beschermingsniveau: Andorra, Argentinië, Canada (let op: dit geldt alleen voor commerciële organisaties), Faroe Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, het Verenigd Koninkrijk, Nieuw Zeeland, Zuid-Korea, Zwitserland en Uruguay.
- Binding Corporate Rules (BCR’s), bindende bedrijfsvoorschriften moeten zijn goedgekeurd door de Europese privacy toezichthouder(s). Over het algemeen zijn het grote internationale organisaties met vestigingen in de hele wereld in Europa die bindende bedrijfsvoorschriften hebben opgesteld en goedgekeurd hebben gekregen;
- Als geen van de voorgaande onderdelen van toepassing is, dan kan ook gekozen worden voor het gebruiken van goedgekeurde Standaard Europese Modelcontract bepalingen (in het Engels de ‘Standard Contractual Clauses’ – SCC’s – genoemd). Er zijn momenteel twee varianten; een variant voor doorgifte van persoonsgegevens van een verwerkingsverantwoordelijke in de EU naar een verwerkingsverantwoordelijke buiten de EU (hiervan zijn twee verschillende versies, beide bruikbaar) en een variant voor doorgifte van persoonsgegevens van een verwerkingsverantwoordelijke in de EU naar een verwerker buiten de EU. Er bestaat op het moment van publicatie van dit artikel nog geen variant voor doorgifte van persoonsgegevens van een verwerker in de EU naar een verwerker buiten de EU. We helpen onze leden graag verder hoe dit in de praktijk te ondervangen. De Europese Commissie is nu de SCC’s aan het moderniseren, wellicht dat er (eindelijk) een variant verwerker in de EU naar een verwerker buiten de EU komt. We houden je hiervan op de hoogte.
- Onder de Avg kan een verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. De Data Pro Code van NLdigital is goedgekeurd door de Autoriteit Persoonsgegevens (de Data Pro Code is in eerste instantie alleen van toepassing op Nederland);
- Als geen van bovenstaande waarborgen mogelijk is, zijn er nog een aantal uitzonderingssituaties beschreven in de Avg (denk hier bijvoorbeeld aan doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering).
Brexit
Als een no-deal Brexit/harde Brexit een feit wordt, is Engeland niet langer een EU lidstaat, maar wat de Avg betreft een ‘derde land’ geworden. Het ziet er nu nog niet naar uit dat een adequaatheidsbesluit door de Europese Commissie genomen zal worden. Als een no-deal Brexit werkelijkheid wordt en een adequaatheidsbesluit van de Europese Commissie inderdaad uitblijft, zal doorgifte van persoonsgegevens naar Engeland in veel gevallen moeten plaatsvinden op basis van een van de andere mogelijkheden, zoals opgenomen onder het kopje ‘Doorgifte persoonsgegevens’. Zie hier voor meer informatie.
Wat als ik nog vragen heb?
Met onze Data Pro Dienstverlening geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. NLdigital organiseert ook verschillende workshops en bijeenkomsten. Leden van NLdigital kunnen kosteloos deelnemen.