27 juni 2019

Avg uitgelicht: de sub-verwerker. Hoe ga je hiermee om?

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), HELPDESK AVG, VERTROUWEN

De juristen van Nederland ICT schrijven regelmatig artikelen over onderwerpen die te maken hebben met de Avg. Deze keer meer uitleg over het begrip sub-verwerker in relatie tot de verwerker.

Het komt vaak voor dat je als verwerker (check hier of je een verwerker bent) contracten hebt gesloten of gaat sluiten met onder-opdrachtnemers die een deel van de uitvoering van de opgedragen verwerkingshandelingen (zullen) verrichten. Denk hierbij aan een externe hostingpartij, aan een partij die beheerstaken verricht of aan een partij die een SaaS-dienst aanbiedt op het gebied van bijvoorbeeld salarisverwerking. Een door jou als verwerker in te schakelen andere verwerker wordt in de praktijk ook wel een ‘sub-verwerker’ genoemd.

Personen die onder het rechtstreekse gezag van de verwerker (of verwerkingsverantwoordelijke) verwerkingshandelingen verrichten/werken en toegang hebben tot persoonsgegevens, zijn geen sub-verwerkers. Dit zijn personen die ondergeschikt zijn aan jou als verwerker (of verwerkingsverantwoordelijke). Denk hierbij aan je personeel. Of wanneer er op een andere wijze sprake is van een rechtstreekse gezagsverhouding. Denk bijvoorbeeld aan een gedetacheerde medewerker die jouw instructies dient te volgen.

Wil je beeld krijgen in hoeverre je al voldoet aan de Avg? Doe dan hier ons self-assessment.

Toestemming

Je hebt als verwerker de specifieke of algemene toestemming van de verwerkingsverantwoordelijke(n) nodig voordat je een sub-verwerker mag inzetten.

Algemene toestemming

Het verlenen van algemene toestemming komt het meest tegemoet aan de praktijk. Het is tenslotte voor jou als verwerker niet efficiënt als je vooraf aan al jouw honderden klanten (de verwerkingsverantwoordelijken) toestemming moet vragen voordat je een nieuwe sub-verwerker kan contracteren en inzetten. Dit is tijdrovend, omslachtig en voegt niet meer toe aan de ratio van de Avg dan het werken met een algemene toestemming.

In de Standaard verwerkersovereenkomst van Nederland ICT (zie hieronder het kopje ‘Standaard verwerkersovereenkomst’) hebben we zo’n algemene toestemming opgenomen. Als algemene toestemming wordt verleend door de klant (verwerkingsverantwoordelijke), dan moet je als verwerker je klanten informeren over het inzetten van nieuwe sub-verwerkers of het vervangen van bestaande sub-verwerkers. Je klant heeft op grond van de Avg het recht hiertegen bezwaar te maken.

Bindende afspraken

De Avg (artikel 28 lid 4) verplicht jou als verwerker om met jouw sub-verwerkers bindende afspraken te maken (bijvoorbeeld in de vorm van een sub-verwerkersovereenkomst) waarin de sub-verwerker back-to-back dezelfde verplichtingen ten aanzien van de bescherming van de persoonsgegevens overeenkomt als waaraan jijzelf bent gebonden. Omdat een sub-verwerker veelal wordt ingezet voor het verrichten van werkzaamheden voor meerdere, zo niet al je, klanten, is het raadzaam om je eigen verwerkersovereenkomst te gebruiken. Dan ben je goed in staat om de verplichtingen back-to-back te regelen met de sub-verwerker en is de keten verwerkingsverantwoordelijke – verwerker – sub-verwerker geborgd.

Het is vooral van belang dat de sub-verwerker zich committeert tot minimaal eenzelfde beveiligingsniveau ten aanzien van de verwerking van persoonsgegevens als het beveiligingsniveau waaraan je je als verwerker zelf jegens je klanten (verwerkingsverantwoordelijken) hebt gebonden. Als de sub-verwerker deze verplichtingen niet nakomt, blijf je als verwerker op grond van de Avg tegenover jouw klanten verantwoordelijk (en aansprakelijk) voor het nakomen van die verplichtingen. De bedoeling van deze bepaling is dat je als verwerker (tegenover jouw klanten) verantwoordelijk en aansprakelijk blijft voor nakoming, alsof je de verwerkingshandelingen niet had uitbesteed aan de sub-verwerker. Het is dus zaak om zorgvuldig je sub-verwerkers te kiezen.

Standaard verwerkersovereenkomst Nederland ICT

Om in de keten te borgen dat je als verwerker back-to-back dezelfde verplichtingen aan je sub-verwerkers oplegt, kan de Standaard verwerkersovereenkomst van Nederland ICT worden gebruikt. Om dit te faciliteren, wordt in deze verwerkersovereenkomst niet gesproken van ‘verwerkingsverantwoordelijke’ maar van ‘opdrachtgever’. Zowel de verwerkingsverantwoordelijke klant, als jij als verwerker, worden hieronder gevat. De Standaard verwerkersovereenkomst bestaat uit twee delen; de Standaardclausules voor verwerkingen (deze blijven ongewijzigd ongeacht wie deze hanteert, de klant of jij als verwerker) en het Data Pro Statement. Het Data Pro Statement is het deel dat specifiek wordt afgestemd op de door jouw of de (sub-)verwerker te verlenen diensten en praktische invulling van Avg-verplichtingen. In de Standaardclausules voor verwerkingen zijn alle algemene onderwerpen opgenomen die op basis van artikel 28 lid 3 Avg in een verwerkersovereenkomst moeten worden geregeld.

Zie hier de Standaard verwerkersovereenkomst van Nederland ICT.

Gedragscode en certificering

De Europese commissaris voor justitie, consumentenrechten en gendergelijkheid, Vera Jourová, ziet een voorname rol weggelegd voor certificering en het aansluiten bij een gedragscode om aan te tonen dat is voldaan aan de verplichtingen van de Avg. De Europese Commissie heeft zich bereid verklaard om dit te faciliteren, maar de initiatieven daartoe moeten uit de markt komen. Dit sluit mooi aan bij de Data Pro Code van Nederland ICT, waarin we een op de (ICT)verwerker toegespitste uitleg geven aan de Avg. Wil jij als verwerker laten zien dat je zorgvuldig met persoonsgegevens omgaat en de compliance met de Avg serieus neemt? Dan kun je je als verwerker aansluiten bij de Data Pro Code van Nederland ICT en het Data Pro Certificate aanvragen.

Doorgifte persoonsgegevens

Als je sub-verwerker gevestigd is in een land buiten de EU/EER, zal je ook moeten voldoen aan de Avg-regels over doorgifte van persoonsgegevens naar zogenaamde ‘derde landen’. Derde landen zijn de landen die niet behoren tot de EU/EER. Tot de Europese Economische Ruimte (EER) behoren alle EU lidstaten en IJsland, Liechtenstein en Noorwegen. Op basis van de Avg mag je alleen persoonsgegevens doorgeven naar ‘derde landen’, als het ontvangende land waarin de sub-verwerker gevestigd is, dan wel de sub-verwerker zelf, een passend niveau van bescherming waarborgt:

  • Check of er voor dit land/gebied/sector/internationale organisatie een adequaatheidsbesluit van de Europese Commissie van toepassing is. Het oude adequaatheidsbesluit is vooralsnog in stand gebleven en er is een nieuw land toegevoegd. De volgende landen hebben volgens de Europese Commissie op dit moment een passend beschermingsniveau: Andorra, Argentinië, Canada (let op: dit geldt alleen voor commerciële organisaties), Faroe Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw Zeeland, Zwitserland, Uruguay en de Verenigde Staten (let op: dit geldt alléén als de verwerkende partij zich heeft aangesloten bij EU-VS Privacy Shield; of als het gaat om Passenger Name Records). Check hier of het bedrijf in de VS is aangesloten bij Privacy Shield;
  • Binding Corporate Rules (BCR’s), bindende bedrijfsvoorschriften moeten zijn goedgekeurd door de Europese privacy toezichthouder(s). Over het algemeen zijn het grote internationale organisaties met vestigingen in de hele wereld in Europa die bindende bedrijfsvoorschriften hebben opgesteld en goedgekeurd hebben gekregen;
  • Als geen van de voorgaande onderdelen van toepassing is, dan kan ook gekozen worden voor het gebruiken van goedgekeurde Standaard Europese Modelcontract bepalingen (in het Engels de ‘Standard Contractual Clauses’ – SCC’s – genoemd). Er zijn momenteel twee varianten; een variant voor doorgifte van persoonsgegevens van een verwerkingsverantwoordelijke in de EU naar een verwerkingsverantwoordelijke buiten de EU (hiervan zijn twee verschillende versies, beide bruikbaar) en een variant voor doorgifte van persoonsgegevens van een verwerkingsverantwoordelijke in de EU naar een verwerker buiten de EU. Er bestaat op het moment van publicatie van dit artikel nog geen variant voor doorgifte van persoonsgegevens van een verwerker in de EU naar een verwerker buiten de EU. We helpen onze leden graag verder hoe dit in de praktijk te ondervangen. De Europese Commissie is nu de SCC’s aan het moderniseren, wellicht dat er (eindelijk) een variant verwerker in de EU naar een verwerker buiten de EU komt. We houden je hiervan op de hoogte.
  • Onder de Avg kan een verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. De Data Pro Code van Nederland ICT zit in het proces ter goedkeuring bij de AP (de Data Pro Code is in eerste instantie alleen van toepassing op Nederland);
  • Als geen van bovenstaande waarborgen mogelijk is, zijn er nog een aantal uitzonderingssituaties beschreven in de Avg (denk hier bijvoorbeeld aan doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering).

Brexit

Als een no-deal Brexit/harde Brexit een feit wordt, is Engeland niet langer een EU lidstaat, maar wat de Avg betreft een ‘derde land’ geworden. Het ziet er nu nog niet naar uit dat een adequaatheidsbesluit door de Europese Commissie genomen zal worden. Als een no-deal Brexit werkelijkheid wordt en een adequaatheidsbesluit van de Europese Commissie inderdaad uitblijft, zal doorgifte van persoonsgegevens naar Engeland in veel gevallen moeten plaatsvinden op basis van een van de andere mogelijkheden, zoals opgenomen onder het kopje ‘Doorgifte persoonsgegevens’. Zie hier voor meer informatie.

Meer informatie

Op de website van Nederland ICT is veel informatie te vinden over specifieke onderdelen van de Avg. Wat de Avg praktisch betekent voor ICT-bedrijven wordt uitgelegd in onze workshops (houd hiervoor onze agenda in de gaten). Informatie over de Data Pro Code, het bijbehorende self-assessment en het Data Pro Certificate vind je (tevens) bij de Helpdesk Avg. Leden van Nederland ICT kunnen gratis gebruik maken van relevante voorbeelddocumenten en tools. Voor niet leden komen deze beschikbaar na de aanvraag van het Data Pro Certificate.

Data Pro Certificate

Til jouw Avg-compliancy naar een niveau hoger! Laat je extern toetsen en verdien het Data Pro Certificate, waarmee je aan je klanten laat zien dat je Avg-proof bent. Met jouw Data Pro Certificate laat je aan klanten en partners zien dat jij als verwerker voldoet aan de wettelijke eisen voor het beschermen van persoonsgegevens. Met het Data Pro Certificate+ regel je ook jouw Functionaris Gegevensbescherming. Wil je meer weten over het Data Pro Certificate? Kijk dan hier. Voldoende informatie en geïnteresseerd? Je kunt hier de certificering starten.