Einde overeenkomst, en nu?
Op partijen rust de verplichting onder de Avg om afspraken te maken over het wissen en/of retourneren van de persoonsgegevens na afloop van de overeenkomst. De bedoeling hiervan is dat de verwerkingsverantwoordelijke en de verwerker praktische afspraken maken over het moment waarop persoonsgegevens bij einde overeenkomst gewist of terugbezorgd worden, de wijze waarop dit zal gebeuren en door wie en welke vergoeding hiertegenover staat. Heb je nagedacht over wat dit voor jou als opdrachtnemer betekent en hoe je hier praktische invulling aan kunt geven?
Praktische invulling
Hoe het wissen, dan wel retourneren van de persoonsgegevens concreet in de praktijk invulling moet krijgen, is voor een belangrijke mate afhankelijk van het type dienstverlening en bijbehorende verwerkingshandelingen die je als verwerker in opdracht van de verwerkingsverantwoordelijke verricht. Er zijn meerdere wegen die naar Rome leiden.
Je zou bijvoorbeeld als verwerker functionaliteit (zelfhulp tools) kunnen ontwikkelen waarmee de verwerkingsverantwoordelijke zowel tijdens de looptijd van de overeenkomst, als aan het einde daarvan zelf zijn persoonsgegevens kan wissen of uit het actieve systeem kan halen. Tot wanneer de klant de persoonsgegevens uit het systeem kan halen bij einde overeenkomst, is iets waarover afspraken in de overeenkomst gemaakt moeten worden. Daarnaast zou je kunnen denken aan het ontwikkelen van een dashboard dat je klant in staat stelt om de betrokkene gedurende de looptijd van de overeenkomst zelf hun persoonsgegevens in te laten zien, te corrigeren of te verwijderen. Als je meer wilt weten over het recht op vergetelheid (the right to be forgotten), kun je dit lezen in onze publicatie hierover en onze bijbehorende tool: Handleiding inzage- en verwijderverzoeken (deze is te vinden in de ledenomgeving MijnNederlandICT).
Je bent als verwerker niet verplicht om zelfhulp tools te ontwikkelen. Aan de ontwikkeling van deze zelfhulp tools zijn de nodige kosten verbonden waarvoor een investering nodig is, zonder dat zeker is of voldoende klanten dit willen afnemen. Een belangrijke afweging hierbij is of de tools passend zijn en de investering hierin in verhouding staat tot de aard van de verwerkingshandelingen en het type te verwerken persoonsgegevens. De gegevens kunnen ook op andere wijzen worden gewist of verwijderd om aan de verplichtingen onder Avg te kunnen voldoen.
Of je nu zelfhulp tools aanbiedt waarmee de klant zelf de persoonsgegevens kan wissen of uit het systeem kan halen, of dat je in opdracht van je klant persoonsgegevens wist, verwijdert en/of terugbezorgt; we adviseren altijd om in de overeenkomst duidelijk op te nemen door wie, hoe en wanneer wat zal plaatsvinden. In de Standaard verwerkersovereenkomst van Nederland ICT is dit terug te vinden in punt 12 van het Data Pro Statement (wissen/verwijderen) en punt 13 (in optie terugbezorgen).
In deze nieuwsbrief besteden we aandacht aan het wissen van persoonsgegevens aan het einde van de overeenkomst. Je klant kan ook vragen om jouw bijstand tijdens de duur van de overeenkomst bij het wissen van persoonsgegevens, omdat de bewaartermijnen van bepaalde persoonsgegevens is geëindigd. Er zijn veel verschillende bewaartermijnen, denk bijvoorbeeld aan de fiscale bewaartermijn van 7 jaar en aan de bewaartermijn van 4 weken voor sollicitatiegegevens. Met welke termijnen rekening gehouden moet worden, is de verantwoordelijkheid van de verwerkingsverantwoordelijke. Maar je zou je klanten hierin kunnen faciliteren door ook hiervoor een zelfhulp tool voor de klant te maken of in te bouwen dat persoonsgegevens automatisch worden gewist na afloop van een door de klant aangegeven termijn.
Niet vernietigen maar wissen en verwijderen
In de Avg wordt niet gesproken van ‘vernietigen’ maar van het ‘wissen’ en ‘verwijderen’ (in de Engelse versie staat ‘deleten’; niet: ‘destroy’). Wat is nu wissen en verwijderen? Wordt hieronder verstaan het wissen van de persoonsgegevens uit het actieve systeem, het onleesbaar maken van persoonsgegevens (bijvoorbeeld door het formatteren van de harde schijf) of het vernietigen van de drager waarop de persoonsgegevens zijn opgeslagen? Het is wachten op enige praktische begeleiding hierbij uit Europa.
Is het redelijk om de opdrachtnemer contractueel te verplichten om aan het einde van de overeenkomst dragers te laten vernietigen? Ook al zijn die nog niet afgeschreven en kunnen deze hergebruikt worden? Dragers zijn niet alleen memory sticks maar ook harde schijven van servers. Dat zou hetzelfde zijn als van een verhuurder van een onroerend pand te eisen dat hij het pand afbreekt (ongeacht of er eventuele andere/opvolgende huurders zijn) op het moment dat de huurovereenkomst eindigt. Toch zijn er verwerkersovereenkomsten in omloop die een dergelijke contractuele verplichting stellen aan verwerkers. Nog los van het feit dat je dan bij het einde van elke overeenkomst je hardware zou moeten vervangen en het dus van groot belang is dat in de overeenkomst wordt opgenomen dat de klant je hiervoor moet vergoeden, is het goed om stil te staan wat dit voor het milieu zou betekenen. Een dergelijke eis staat lijnrecht tegenover duurzaam ondernemen en wettelijke verplichtingen. Voor producenten geldt een wettelijke recycle norm van 80% van de op de markt gebrachte apparatuur. Voor meer informatie over duurzaam ondernemen, kun je contact opnemen met ICT Milieu.
EOL Hardware
In dit kader is het ook goed om stil te staan bij het wissen/verwijderen van persoonsgegevens op afgedankte (‘end of life’/’EOL’) hardware. Denk aan servers, scanners, printers, kopieermachines, pc’s, telefoons, e.d. Op een gegeven moment wordt de hardware afgeschreven en vervangen. Wat gebeurt er met de oude apparatuur? Worden de persoonsgegevens gewist/verwijderd van de oude apparatuur alvorens deze wordt ingeleverd door de eigenaar/gebruiker? Of wordt de afgedankte apparatuur met de persoonsgegevens ingeleverd en wordt de inzamelaar geacht de persoonsgegevens te verwijderen? Heeft de inzamelaar daartoe een duidelijke instructie ontvangen? Een vraag die samenhangt met de vorige vraag is, wie is er verantwoordelijk voor het adequaat wissen en verwijderen van (kopieën van) persoonsgegevens op die afgeschreven hardware? Let op!: Het niet wissen/verwijderen van persoonsgegevens op ‘end of life’ apparatuur is een datalek. In bestaande contracten is vaak wel iets opgenomen over terugname van de apparatuur maar niets over het wissen van persoonsgegevens. De verwerkingsverantwoordelijke moet zijn verantwoordelijkheid hierin nemen. De verwerkingsverantwoordelijke mag ook niet verwachten dat de leverancier opdraait voor de kosten.
Vergoeding kosten
Een verwerkingsverantwoordelijke mag niet van je verwachten dat je als verwerker de kosten draagt van het wissen/verwijderen en/of teruggave van persoonsgegevens. Want tegenover commerciële dienstverlening hoort een vergoeding te staan. Door, zoals wij adviseren, de wijze van het wissen en/of teruggave bij aanvang van de overeenkomst te bepalen, kunnen de kosten al worden meegenomen in de vergoeding voor de overeengekomen dienstverlening. Je zou bijvoorbeeld kunnen werken met gedifferentieerde prijzen, afhankelijk van de afgenomen dienstverlening. Zo zou je brons, zilver en goud opties kunnen aanbieden met ieder hun eigen prijskaartje (net als in een SLA).
Conclusie
Ook al is het nog onduidelijk wat nu concreet wordt verstaan onder het adequaat wissen of verwijderen van persoonsgegevens, het is hoe dan ook zaak om contractueel eenduidig vast te leggen wie de persoonsgegevens zal wissen/verwijderen, op welke wijze dit zal te geschieden, binnen welke periode dit zal plaatsvinden en welke vergoeding daarvoor in rekening wordt gebracht. Voor juridische advies hierover kun je contact opnemen met de juridische adviseurs van Nederland ICT via e-mail of 0348 – 49 36 36.
Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg nieuwsbrief.
