Vandaag de dag is het de normaalste gang van zaken om digitale diensten uit te besteden aan een externe partij. CRM, HRM, ERP, DMP en DWH zijn allemaal gangbare termen bij de gemiddelde organisatie, waarbij het ene systeem vaak weer wordt gekoppeld aan het andere. Nieuwkomers als veilig mailen-, of encryptietools maken het ecosysteem niet minder complex. Het inschakelen van een externe partij brengt altijd een risico met zich mee. Worden er ook persoonsgegevens verwerkt? Dan kan aansprakelijkheid op grond van de Algemene verordening gegevensbescherming (AVG) aan het lijstje worden toegevoegd. In deze blog bespreken we hoe het hiermee zit.
Verwerkers en subverwerkers
Waar persoonsgegevens worden verwerkt, is de AVG van toepassing. De verwerkingsverantwoordelijke is primair verantwoordelijk voor het naleven hiervan. Zodra een externe partij – een verwerker – wordt ingeschakeld, worden een aantal verantwoordelijkheden overgedragen en gedeeld. Om de verdeling van verantwoordelijkheid vast te leggen, vereist de privacywet dat een zogenaamde verwerkersovereenkomst wordt gesloten. Hierin worden afspraken gemaakt over het gebruik van persoonsgegevens, de vereiste beveiligingsmaatregelen en wanneer en onder welke voorwaarden een subverwerker mag worden ingeschakeld.
De AVG geeft geen definitie voor ‘de subverwerker’, maar spreekt alleen van ‘een verwerker die een andere verwerker inschakelt’. Ook dan zullen er afspraken moeten worden gemaakt over de bescherming van persoonsgegevens. Hiervoor wordt de subverwerkersovereenkomst gebruikt. De AVG vereist dat in deze overeenkomst dezelfde (!) verplichtingen worden doorgezet als tussen de verwerkingsverantwoordelijke en de verwerker zijn overeengekomen. Zo dient de verwerkingsverantwoordelijke grip te kunnen houden op de keten van leveranciers. In de AVG is immers duidelijk vermeld dat een verwerkingsverantwoordelijke alleen gebruik mag maken van verwerkers die afdoende garanties bieden: garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen.
Aansprakelijkheid
De AVG noemt nog een ander interessant punt over subverwerkers: wanneer de subverwerker zijn verplichtingen niet nakomt, blijft de eerste verwerker volledig aansprakelijk richting de verwerkingsverantwoordelijke voor het nakomen van die verplichtingen door de subverwerker.
Het uitgangspunt is dat een partij volledig aansprakelijk is op grond van de wet. Een en ander kan contractueel beperkt worden, zolang de andere partij daar maar mee akkoord gaat. Aansprakelijkheid kan alleen niet beperkt worden als de wet daar wat over zegt, zoals bovenstaande bepaling over aansprakelijkheid voor subverwerkers.
Daarnaast biedt de AVG een aansprakelijkheidsregeling in artikel 82. Het doel hiervan is om te waarborgen dat een betrokkene altijd zijn of haar geleden schade kan verhalen, ongeacht bij welke partij de schade is ontstaan, en welke afspraken die partijen hebben gemaakt. Een verwerkingsverantwoordelijke en verwerker kunnen deze kosten wel op elkaar verhalen, als dit toe te rekenen is aan de andere partij.
De keten
Hiermee kan de verwerkingsverantwoordelijke – als eindverantwoordelijke – grip houden op de verwerking van persoonsgegevens in een keten. Waar vroeger enkel de salarisadministratie werd uitbesteed aan een externe partij, schakelt deze externe partij hier nu wellicht een hostingprovider, ontwikkelaar en consultants voor in. Om het overzicht te houden in een steeds ingewikkelder wordend ICT-ecosysteem dient de verwerkingsverantwoordelijke te weten welke partijen zijn ingeschakeld, en welke partijen die partij weer inschakelt. Artikel 28 lid 4 is voor de verwerkingsverantwoordelijke in ieder geval een stok achter de deur.
