De AVG in contracten

23 mei 2018

Inleiding

Vanaf 25 mei 2018 zijn de Europese verordening Algemene Verordening Gegevensbescherming (AVG) en de Nederlandse Uitvoeringswet AVG van toepassing. Vanaf dat moment kan iedereen zich op de AVG beroepen. De gevolgen voor organisaties die met de verwerking van persoonsgegevens te maken hebben zijn verstrekkend. Dit komt niet alleen door de hoge boetes, maar ook vanwege de brede toepassing van de wet. De AVG geldt namelijk voor alle organisaties, ongeacht hun omvang, die persoonsgegevens van Europese burgers verwerken. Dit geldt voor verwerking van persoonsgegevens op EU grondgebied en daarbuiten, digitaal en op papier, betaald en onbetaald. Ook inkopers moeten binnen hun werkgebied rekening houden met de AVG.

Organisatie hebben tot 25 mei 2018 de tijd gekregen om hun bedrijfsvoering AVG-compliant te maken. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. Hoewel het niet de verwachting is dat de Autoriteit Persoonsgegevens (AP) direct hard gaat handhaven bij alle organisaties, geldt de wet. Ook inkopers moeten met de AVG aan de slag. Opdrachtgevende organisaties kunnen namelijk verantwoordelijk zijn voor de persoonsgegevens die zij zelf verwerken, maar ook voor de persoonsgegevens die hun opdrachtnemers verwerken. Bijvoorbeeld adresgegevens van personen die vervoerd moeten worden in de uitvoering van een vervoercontract en de verwerking van personeelsgegevens door de administratieve dienstverleners.

Als organisaties (gedeeltelijk) verantwoordelijke zijn voor de verwerking van persoonsgegevens, moeten zij via hun contracten zorgen dat opdrachtnemers die voor hen persoonsgegevens verwerken, de AVG naleven. Doen zij dat niet, dan kunnen persoonsgegevens op straat komen te liggen, wordt de wet niet nageleefd en riskeert de verantwoordelijke organisaties hoge boetes. De tijd dringt dus ook voor inkopers om hiermee aan de slag te gaan!

Het doel van dit artikel is om inkopers een aantal tips & tricks mee te geven om de AVG een plek te geven in hun inkoopproces, opgedeeld in de voorbereidingsfase, de uitvoering van de inkoopprocedure en de uitvoering van het contract. Hoewel het niet de intentie is om de lezer volledig te informeren over de inhoud van de AVG, kunnen een paar kernbegrippen niet ontbreken. De exacte definities zijn te vinden in de wet.

Kernbegrippen

Begrip Definitie/toelichting
Persoonsgegevens Alle informatie over een identificeerbare natuurlijk persoon. Identificeerbaar betekent dat een persoon direct of indirect kan worden geïdentificeerd door bijvoorbeeld namen, identiteitsnummers, adressen en andere fysieke, fysiologische, genetische, psychische, economische, culturele en sociale kenmerken.
Verwerking Alle vormen van systematische bewerking van persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, opslaan, wijzigen, opvragen, raadplegen, gebruiken en vernietigen van gegevens.
Functionaris Persoonsgegevens Een functionaris die wordt aangewezen door de verantwoordelijke en verwerker als sprake is van:

– verwerking door een overheidsinstantie (m.u.v. gerechten in rechterlijke taken); of

– een verantwoordelijke/verwerker op grote schaal persoonsgegevens verwerkt; of

– een verantwoordelijke/verwerker persoonsgegevens verwerkt betreffende bijzondere categorieën (artikel 9 AVG); of

– een verantwoordelijke/verwerker persoonsgegevens verwerkt betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG); of

– een verplichting vanuit de wet.

 

Deze functionaris kan organisatie breed werken, mits hij organisatiebreed makkelijk te contacteren is. De functionaris heeft vanuit de wet en de praktijk kennis van gegevensbescherming en is in staat zijn wettelijke taken (artikel 39 AVG) te verrichten. Zijn contactgegevens worden gedeeld met de AP.

Verwerkingsverantwoordelijke of Verantwoordelijke Degene die, alleen of samen met anderen, het doel van (het waarom) en de middelen (het hoe) voor de verwerking van persoonsgegevens vaststelt.
Betrokkene Een identificeerbare natuurlijke persoon.
Verwerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt
Toepassingsgebied AVG De AVG betreft voor alle organisaties, groot en klein, op EU grondgebied of daarbuiten, die persoonsgegevens verwerken van EU burgers en betrokkenen die zich in de EU bevinden.

 

Privacy in de voorbereiding

Stap 1. Inventariseer of opdrachtnemer beschikking krijgt over persoonsgegevens

In de voorbereiding van de offerteaanvraag is het belangrijk om te identificeren of de beoogde opdrachtnemer over privacygevoelige informatie zal beschikken. Als het antwoord daarop ja is, is de volgende stap om in kaart te brengen over welke informatie het gaat en of de opdrachtnemer zelf over de informatie beschikt of dat hij deze verkrijgt van uw organisatie, de opdrachtnemer? Op basis van bovenstaande informatie kan de opdrachtnemer eisen stellen in de offerteaanvraag. Om de juiste eisen te stellen en maatregelen te nemen, is het belangrijk om de functionaris persoonsgegevens (zie begrippen tabel, hierna FPG) te betrekken bij het inkoopteam.

Stap 2. Identificeer de status van opdrachtnemer

De vervolgstap is in kaart brengen wie welke rol heeft in de gegevensverwerking. Dit is belangrijk omdat je als verantwoordelijke aansprakelijk bent voor schendingen, ook voor de schendingen door verwerkers. Er zijn twee rollen in de AVG:

  • De verantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
  • De verwerker is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Het is ook mogelijk dat meerdere organisaties verantwoordelijke zijn voor een deel van het proces. In dat geval zijn de organisaties medeverantwoordelijke. Dit wordt door de wet niet als aparte rol gezien. Als medeverantwoordelijke ben je voor de wet ook verantwoordelijk voor het geheel, en kan je dus aansprakelijk worden gesteld voor schendingen van andere medeverantwoordelijken, tenzij je kan bewijzen dat je niets van doen hebt met de schending. Medeverantwoordelijken doen er verstandig aan om in een soort partnerschap concrete afspraken met elkaar te maken.

Op basis van de conclusies uit stap 1 kan je jouw rol als opdrachtgever identificeren. Figuur 1 (uit ‘Grip op de AVG’ door Versmissen, Terstegge en Krijgsman) geeft de vuistregel weer voor het bepalen van de rollen: degene die een directe relatie heeft met de betrokkene is verantwoordelijke.

 

Deze vuistregel is niet altijd zo recht toe recht aan. Soms heb je als opdrachtgever te maken met grote bedrijven die hun eigen werkwijze en voorwaarden hanteren waar je niet 100% kan bepalen hoe de gegevensverwerking plaatsvindt. In dit geval is kan zo’n bedrijf medeverantwoordelijke zijn. Op hoofdlijnen is degene met een grote vinger in de pas verantwoordelijke. Dus als je het doel van de

gegevensverwerking bepaalt (waarom) en vaak ook de middelen (hoe). Hoe meer regie, hoe groter de kans dat de opdrachtgevende organisatie de rol van verantwoordelijke heeft.

Voorbeeld bovenste plaatje: Een organisatie eindejaarsgeschenken wil eindejaarsgeschenken per post aan het personeel geven. De organisatie geeft een opdrachtnemer opdracht om de geschenken samen te stellen en te (laten) bezorgen aan het personeel. De opdrachtnemer is verwerker van de adresgegevens van het personeel om de geschenken te kunnen bezorgen. De opdrachtgever is verantwoordelijke.

Voorbeeld van het onderste plaatje: Een bedrijfsarts die in opdracht van een werkgever zich met ziek personeel bezig houdt is verantwoordelijke.

Stap 3. Stel voorwaarden aan de opdrachtnemer en de opdracht

Als verantwoordelijke is een organisatie ervoor verantwoordelijk dat de opdrachtnemer die verwerker is, voldoende garanties biedt dat de verwerking aan de AVG voldoet en de rechten van betrokkenen zijn zeker gesteld. De opdrachtgevende organisatie is dus ook aansprakelijk bij schendingen. Bij iedere eis is het belangrijk om na te gaan of de eis daadwerkelijk leidt tot het gewenste resultaat. Zo is het gebruikelijk om bij informatiebeveiliging en ook persoonsgegevens ISO 27001 en 27002 te vragen. Echter, ISO 27001 gaat over informatiebeveiliging maar niet over persoongegevensbescherming. ISO 27002 is meer strategisch en is niet concreet genoeg om gegevensbescherming in contracten te implementeren. De eisen zijn dus niet verkeerd, maar ook garanderen ook niet de juiste gegevensbescherming door bewerkers. Het is dus essentieel om bij het formuleren van de opdracht het doel van de gegevensverwerking scherp te hebben. Betrokkenheid van de functionaris persoonsgegevens bij het inkoopteam is dan ook noodzakelijk. Door concrete afspraken met de verwerker in een verwerkersbijeenkomst, voor aanvang van een overeenkomst, moet de verwerker garanties bieden dat de verwerking aan de AVG voldoet en dat de rechten van betrokkenen zijn gewaarborgd.

Stap 4. Stel een verwerkingsovereenkomst op

Neem in de verwerkingsovereenkomst minimaal de volgende onderwerpen op:

  1. Gegevens worden alleen op instructie van de verantwoordelijke verwerkt;
  2. Personeel van de verwerker gaat vertrouwelijk met de gegevens om;
  3. Verwerker neemt passende maatregelen voor beveiliging;
  4. Verwerker verwerkt of slaat geen persoonsgegevens op in landen buiten de EU, tenzij in die landen via internationale verdragen voldaan wordt aan de AGV;
  5. Voorwaarden waaronder verwerker de gegevens mag doorgeven (subverwerkers), waaronder minimaal dat dit alleen mogelijk is na expliciete schriftelijke toestemming door opdrachtgever vooraf;
  6. Verwerker zorgt voor zover mogelijk dat de verantwoordelijke zich aan de rechten van de betrokkenen kan houden;
  7. Verwerker wist of retourneert na afloop van de diensten de gegevens;
  8. Verwerker geeft alle informatie die verantwoordelijk nodig heeft om het voldoen aan de wettelijke eisen te testen;
  9. Concrete afspraken over datalekken: wanneer, waar en door wie bij wie wordt een datalek gemeld;
  10. Eventueel boete en doorlegbepalingen bij schendingen en aansprakelijkheid.

Stap 5. Neem extra bepalingen in de inkoopdocumenten op

Naast de bepalingen uit de offerte-aanvraag  en de conceptverwerkersovereenkomst is het aan te raden om de volgende bepalingen op te nemen in de overeenkomst:

– In heldere en concrete bewoordingen de verplichtingen van de opdrachtnemer, zoals het zorgen dat de opdrachtgever aan zijn verplichtingen als verantwoordelijke kan voldoen en betrokkenen inzage verstrekken in hun persoonsgegevens.

– In heldere en concrete bewoordingen de rechten van de opdrachtgever beschrijven, zoals het uitvoeren van audits.

– boetebepalingen bij overtredingen en doorlegbepaling bij overtredingen van bepalingen van de AVG.

Tot slot bevelen wij aan om in de inkoopdocumenten duidelijk aan te geven dat opdrachtnemer geen persoonsgegevens verwerkt of opslaat in landen buiten de EU. Het is mogelijk om wel opslag toe te staan in landen waarin via internationale verdragen voldaan wordt aan de AGV. In dit geval raden wij aan om ook op te nemen hoe opdrachtgever dient om te gaan met wijzigingen in de data opslag. Zo heeft de EU met de VS de Privacy Shield Agreement afgesloten om de bescherming van persoonsgegevens in de VS te beschermen. Het is echter onzeker of deze wordt verlengd. In de inkoopdocumenten zou al moeten worden opgenomen dat persoonsgegevens per direct van de server moeten worden gehaald, als de bescherming van gegevens in het land van opslag buiten de EU niet meer gegarandeerd is.

Stap 6. Abstraheer en anonimiseer persoonsgegevens tot de noodzakelijke informatie in inkoopdocumenten

Tot slot is het belangrijk om geen privacygevoelige gegevens te delen in de aanbesteding zelf. Hanteer hierbij het principe ‘need to know’ voor alle stakeholders. Dat betreft zowel potentiele inschrijvers maar ook de leden van het inkoopteam. Het is niet nodig dat iedereen in het inkoopteam inzicht heeft in alle gegevens van een aanbesteding, vooral niet als het om persoonsgegevens gaat. Voor het inkoopteam is relevant wie welke gegevens nodig heeft om goede input te leveren aan de aanbestedingsdocumenten. Ook voor de inschrijvers geldt dat persoonsgegevens vaak niet nodig zijn voor het indienen van een offertes. Vaak kunnen de gegevens tot een dusdanig abstractieniveau worden gebracht zodat de gegevens anoniem zijn. Bijvoorbeeld bij vervoersbewegingen is het delen van de vervoersbewegingen voldoende. Een volledige rittenbak is niet nodig.

Privacy tijdens de inkoopprocedure

Ook als de offerteaanvraag gedaan is, is het in de vragenronde belangrijk om alert te zijn dat je geen aanpassingen doet waardoor je niet meer aan de AVG verplichtingen kan voldoen. Een risico zit in een klein hoekje. Zo is het mogelijk dat je onbewust akkoord gaat met een andere invulling van beveiliging of een beperking van auditbepalingen, waardoor het niet meer mogelijk is om effectief te toetsen of de opdrachtnemer aan de AVG voldoet. Als verantwoordelijke opdrachtgever heb jij wel die verplichting. Tegelijkertijd geldt ook in deze fase dat ook het ‘need to know’ principe voor het inkoopteam. Bij bijvoorbeeld inhuur van personeel ontvang je van inschrijvers persoonsgegevens over kandidaten. Het is het niet noodzakelijk dat degenen die beoordelen beschikken over de adresgegevens en bereikbaarheidsgegevens van kandidaten.

Privacy tijdens de uitvoering van het contract

Ook na het afsluiten van het contract, sterker nog, juist na dit moment is het noodzakelijk om de naleving AVG goed te bewaken. Dit is alleen mogelijk met proactief contractmanagement. De contractmanager dient te zorgen dat de afspraken worden nageleefd. Voorbeelden zijn of ISO-certificeringen of andere geëiste certificeringen up-to-date zijn en of de opdrachtnemer nog steeds gebruik maakt van een dataserver in de EU (of andere AVG conform land). Wanneer de opdrachtnemer de AVG gerelateerde afspraken niet naleeft, heeft de contractmanager de juiste bevoegdheden nodig om bijvoorbeeld boetes op te kunnen leggen. Tot slot is noodzakelijk dat zij de inhoud van het contract, inclusief de AVG gerelateerde afspraken goed doorgronden. Hierbij helpt het onderhouden van een goede intensieve relatie met de functionaris persoonsgegevens en geregeld overleg met de opdrachtnemer over privacy.

Conclusie

De tijd dringt om gedegen aan de slag te gaan met de implementatie van de AVG. Dit is niet eenvoudig gezien de complexiteit van de materie. Met de bovenstaande tips kunt u in ieder geval bij nieuwe opdrachten en zorgvuldige start maken. Wat ons betreft staat met stip boven aan om een koffieafspraak in te plannen met de functionaris gegevensbescherming!