Inleiding
Bij de digitale inrichting van software die persoonsgegevens verwerkt, speelt de AVG (Algemene Verordening Gegevensbescherming) een centrale rol. Deze regelgeving legt duidelijke verantwoordelijkheden op aan zowel de verwerkingsverantwoordelijke als de verwerker. Deze verantwoordelijkheden worden onder andere vastgelegd in een verwerkersovereenkomst, zoals bepaald in artikel 28 van de AVG. In dit artikel wordt ingegaan op de inhoud en betekenis van deze overeenkomst, met een specifieke focus op het inrichten van software. Daarbij worden zowel juridische kaders, technische maatregelen en samenwerking tussen partijen centraal gehouden.
Bij het inrichten van software, zoals bijvoorbeeld bij het ontwikkelen van digitale systemen voor het beheren van huurdersgegevens of klantportalen in vastgoedprojecten, is het van essentieel belang om privacy en gegevensbescherming voorop te zetten. Dit gebeurt onder andere door de principes van privacy by design en privacy by defaults toe te passen, zoals vermeld in artikel 25 van de AVG. Deze principes beïnvloeden niet alleen het technische ontwerp van de software, maar ook de standaardinstellingen die gebruikers tegenkomen. In deze context speelt een verwerkersovereenkomst een essentiële rol om zowel rechtszekerheid te bieden als privacy risico’s te beheersen.
Het doel van dit artikel is om te verduidelijken hoe een verwerkersovereenkomst bijdraagt aan de veilige en wettelijke inrichting van software, welke verantwoordelijkheden daarin zijn vastgelegd, en hoe samenwerking tussen de betrokken partijen kan worden geregeld. Met behulp van de gegevens uit de beschikbare bronnen wordt een overzicht gegeven van de relevante artikelen, maatregelen en afspraken die in dergelijke overeenkomsten worden gemaakt.
Verwerkersovereenkomst: juridisch kader en inhoud
Een verwerkersovereenkomst is een juridisch bindende overeenkomst die de relatie regelt tussen de verwerkingsverantwoordelijke en de verwerker. Deze overeenkomst is verplicht volgens artikel 28 van de AVG en moet ten minste de vereisten van artikel 28 lid 3 AVG bevatten. Deze bepalingen zijn bedoeld om te zorgen dat de verwerker voldoet aan de AVG-eisen en dat de verwerkingsverantwoordelijke voldoende controle heeft over de verwerking van persoonsgegevens.
De verwerkersovereenkomst begint met een ingangsdatum en heeft een duur die afhangt van het doel van de verwerking. Zo wordt in artikel 2.1 van een voorbeeldovereenkomst aangegeven dat de overeenkomst in werking treedt op een bepaalde datum en dat deze geldt zolang de verwerker deelneemt aan de verwerking van persoonsgegevens in het kader van de hoofdovereenkomst. Deze hoofdovereenkomst is meestal de overeenkomst tussen de verwerkingsverantwoordelijke en de eindgebruiker of klant.
Het doel van de verwerkersovereenkomst is om te zorgen dat de verwerker alleen de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke, tenzij wettelijke verplichtingen of bindende uitspraken van bevoegde organen anders bepalen. Dit is vastgelegd in artikel 3.1. Hierbij is het van belang dat de verwerker geen eigen beslissingen neemt over de verwerking van de gegevens, zoals de opslagduur, de verstrekking aan derden of het gebruik ervan. De verwerkingsverantwoordelijke moet duidelijke instructies geven en deze instructies moet de verwerker volgen.
In bijlage 3.2 van een voorbeeldovereenkomst is verder te lezen dat de verwerkingen van persoonsgegevens worden vastgelegd in een aparte bijlage, die samen met de verwerkingsverantwoordelijke wordt ingevuld. Deze bijlage geeft een duidelijk overzicht van welke activiteiten in het kader van de overeenkomst worden uitgevoerd. Hierdoor is het voor beide partijen duidelijk wat er gebeurt met de persoonsgegevens en wie verantwoordelijk is voor welke aspecten.
Verantwoordelijkheden van de verwerker
De verwerker heeft een aantal specifieke verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst. Deze verantwoordelijkheden zijn voornamelijk gericht op naleving van de instructies van de verwerkingsverantwoordelijke, naleving van gegevensbeschermingsmaatregelen en medewerking bij controles of klachten.
In artikel 4.1 van een voorbeeldovereenkomst is vastgelegd dat de verwerker de gegevens uitsluitend mag verwerken in overeenstemming met de schriftelijke instructies van de verwerkingsverantwoordelijke. Dit betekent dat de verwerker geen eigen beslissingen mag nemen over de verwerking van de persoonsgegevens, zoals het delen van de gegevens met derden of het verwijderen ervan. De verwerker is verplicht om de instructies strikt op te volgen.
Artikel 4.2 legt verder uit dat de verwerker niet mag beslissen over het gebruik van de ontvangen persoonsgegevens. Zo neemt hij geen beslissingen over de ontvangst, opslagduur of verstrekking aan derden. Deze bepaling is van groot belang om te zorgen dat de verwerkingsverantwoordelijke de controle behoudt over hoe de gegevens worden gebruikt en beheerd.
Een belangrijke verantwoordelijkheid van de verwerker is ook om medewerking te verlenen bij klachten van betrokkenen. In artikel 4.3 is vermeld dat de verwerker moet helpen bij het verwerken van klachten, zoals inzageverzoeken, correctieverzoeken of verwijderingsverzoeken. De verwerker moet zorgen dat deze verzoeken binnen de wettelijke termijnen worden beantwoord. Dit betekent dat hij samenwerkt met de verwerkingsverantwoordelijke om zowel de administratieve als technische processen te ondersteunen.
Daarnaast is de verwerker verantwoordelijk voor het uitvoeren van gegevensbeschermingseffectbeoordelingen (DEB) of audits, indien deze worden aangevraagd door de verwerkingsverantwoordelijke. In artikel 4.4 is vastgelegd dat partijen afspraken maken over het uitvoeren van dergelijke activiteiten. Deze afspraken zijn essentieel om te zorgen dat de verwerker in staat is om te voldoen aan de AVG-eisen en eventuele risico’s op voorhand te identificeren.
Geheimhoudingsplicht
De geheimhoudingsplicht is een centrale verantwoordelijkheid van de verwerker in de verwerkersoverekenkomst. In artikel 5.1 is vastgelegd dat de verwerker verplicht is om alle documenten en persoonsgegevens die hij bij de verwerking tegenkomt geheim te houden. Deze geheimhoudingsplicht geldt ook voor de medewerkers, instanties en subverwerkers die bij de verwerking betrokken zijn. Na beëindiging van de overeenkomst blijft deze geheimhoudingsplicht in stand.
Bijlage 1 van een voorbeeldovereenkomst bevat een geheimhoudingsverklaring die de verwerker tekent. Deze verklaring is een juridisch bindend document dat de geheimhoudingsplicht verder toelicht en benadrukt. Hierin staat bijvoorbeeld dat de verwerker geen informatie mag openbaren of doorgeven aan derden, tenzij dit wettelijk is verplicht. Dit is van groot belang om te voorkomen dat persoonsgegevens op ongeoorloofde manier worden gebruikt of gedeeld.
De geheimhoudingsplicht is ook van toepassing op eventuele datalekken. In artikel 6 is vermeld dat contractpartners en samenwerkingspartners de gemeente onmiddellijk op de hoogte moeten stellen van eventuele datalekken. Daarnaast moeten zij alle noodzakelijke maatregelen nemen om het lekken te stoppen en informatie verstrekken aan de gemeente die nodig is voor de verwerking. Deze bepaling is essentieel om snel en doeltreffend te kunnen reageren op eventuele schendingen van de gegevensbescherming.
Privacy by design en privacy by defaults
Een belangrijk aspect van het inrichten van software is het toepassen van de principes van privacy by design en privacy by defaults. Deze principes zijn vermeld in artikel 25 van de AVG en zijn bedoeld om te zorgen dat privacy en gegevensbescherming voorop staan bij het ontwerp en gebruik van software. In het kader van een verwerkersovereenkomst is het van belang dat deze principes ook op juridisch niveau worden verankerd.
Bij het ontwerpen van software wordt er voor gekozen om de hoeveelheid betrokken persoonsgegevens te minimaliseren. Dit betekent dat alleen de gegevens worden verwerkt die absoluut nodig zijn voor de doeleinden van de software. Daarnaast wordt waar mogelijk gepseudonimiseerd, wat inhoudt dat persoonsgegevens worden vervangen door code waardoor de identiteit van de persoon niet direct duidelijk is. Deze maatregel beperkt het risico op schendingen van de privacy en vergroot de beveiliging van de gegevens.
De standaardinstellingen van de software, ook wel privacy by defaults genoemd, worden zo ingesteld dat persoonsgegevens pas worden verwerkt bij actieve handelingen van de gebruiker. Dit betekent dat de gebruiker bewust moet aangeven dat hij of zij instemt met de verwerking van zijn of haar persoonsgegevens. Deze aanpak zorgt ervoor dat gebruikers bewust en op de hoogte zijn van de verwerking van hun gegevens, wat een belangrijke eis is van de AVG.
Deze principes zijn niet alleen technische maatregelen, maar ook juridische verplichtingen die worden opgenomen in de verwerkersovereenkomst. Zo wordt er in artikel 5 van een voorbeeldovereenkomst verder ingegaan op het ontwerp en de standaardinstellingen van de software. Hierin wordt uitgelegd dat de verwerker verplicht is om aan te tonen dat het ontwerp van de software aansluit bij de eisen van de AVG. Dit betekent dat de verwerker een gedegen plan van aanpak moet hebben voor de beveiliging van persoonsgegevens en dat dit plan beschikbaar moet zijn voor de verwerkingsverantwoordelijke bij inspectie.
Samenwerking en controle
Een verwerkersovereenkomst is niet alleen een juridisch instrument, maar ook een instrument voor samenwerking en controle. In de AVG is vastgelegd dat de verwerkingsverantwoordelijke altijd gerechtigd is om de verwerking van persoonsgegevens te controleren. Deze controle kan zowel intern als extern worden uitgevoerd, bijvoorbeeld door een externe controleur die door de verwerkingsverantwoordelijke is ingeschakeld. In artikel 5 van een voorbeeldovereenkomst is vermeld dat de verwerker verplicht is om de controle te ondersteunen en medewerking te verlenen zodat deze daadwerkelijk kan plaatsvinden.
De verwerker is verder verplicht om binnen een bepaalde termijn de benodigde informatie te verstrekken aan de verwerkingsverantwoordelijke of de externe controleur. Deze informatie is nodig om te beoordelen of de verwerker in overeenstemming is met de eisen van de verwerkersovereenkomst en de AVG. De externe controleur is verplicht om deze informatie vertrouwelijk te behandelen, wat een extra laag van beveiliging biedt.
Daarnaast is het van belang dat de verwerker een plan van aanpak heeft voor het omgaan met inbreuken en dat hij deze informatie beschikbaar stelt op verzoek van de verwerkingsverantwoordelijke. In artikel 5 van een voorbeeldovereenkomst is vermeld dat de verwerker verplicht is om materiële wijzigingen in dit plan van aanpak te melden. Hierdoor is de verwerkingsverantwoordelijke altijd op de hoogte van eventuele veranderingen in de beveiliging van de persoonsgegevens.
Verantwoordelijkheid voor datalekken
Een verwerkersovereenkomst bevat ook bepalingen over verantwoordelijkheid bij datalekken. In artikel 6 van een voorbeeldovereenkomst is vastgelegd dat contractpartners en samenwerkingspartners de verwerkingsverantwoordelijke onmiddellijk op de hoogte moeten stellen van eventuele datalekken. Daarnaast moeten zij alle noodzakelijke maatregelen nemen om het lekken te stoppen en informatie verstrekken aan de verwerkingsverantwoordelijke die nodig is voor de verwerking.
De overdracht van aansprakelijkheid bij onrechtmatige verwerkingen wordt bepaald in artikel 8 van een voorbeeldovereenkomst. Hierin staat dat de aansprakelijkheid overgaat op het moment dat de verwerkingsverantwoordelijke persoonsgegevens voor het eerst aan de samenwerkingspartner overdraagt. Deze bepaling is van groot belang om te zorgen dat de verwerkingsverantwoordelijke zich niet uit kan sluiten van de verantwoordelijkheid bij schendingen van de gegevensbescherming.
Implementatie en onderhoud
Om te zorgen dat de verwerkersovereenkomst goed werkt in de praktijk, is het van belang dat er een implementatie- en onderhoudsplan wordt opgesteld. In artikel 4.3 van een voorbeeldovereenkomst is vermeld dat dit plan een uitwerking moet geven van het beleidsplan van de verwerkingsverantwoordelijke. Dit plan bevat onder andere maatregelen om privacy in het bedrijfsvoeringstermijnprogramma op te nemen en om samenwerking met externe partijen te bevorderen.
Het plan moet ook rekening houden met de rol van de functionaris gegevensbescherming (FG), die wordt aangewezen volgens artikel 37 van de AVG. De FG heeft de verantwoordelijkheid om de naleving van de AVG te controleren en om te zorgen dat de verwerker aan de eisen voldoet. In artikel 5 van een voorbeeldovereenkomst is vermeld dat de FG moet voldoen aan bepaalde professionele kwaliteiten, zoals kennis van de wetgeving en de praktijk op het gebied van gegevensbescherming.
Het implementatie- en onderhoudsplan moet ook aandacht besteden aan de samenwerking tussen partijen in meerdere gemeenten of organisaties. In artikel 5 van een voorbeeldovereenkomst is vermeld dat de ontwikkeling van software en privacyaspecten steeds verder zijn verweven met elkaar. Dit betekent dat samenwerking op meerdere terreinen gemakkelijker wordt, zolang de privacyaspecten zijn meegenomen in het ontwerp en de standaardinstellingen van de software.
Conclusie
De AVG-verwerkersovereenkomst speelt een essentiële rol bij het inrichten van software die persoonsgegevens verwerkt. Deze overeenkomst regelt de verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker en zorgt voor rechtszekerheid en privacybeveiliging. Door de principes van privacy by design en privacy by defaults toe te passen, wordt zorg genomen voor een verantwoordelijke aanpak van de verwerking van persoonsgegevens. De overeenkomst bevat ook bepalingen over geheimhouding, controle, datalekken en samenwerking, die allemaal essentieel zijn om aan de eisen van de AVG te voldoen.
Bij het inrichten van software is het van belang dat zowel de juridische als de technische kaders worden meegenomen in het ontwerp. Hierbij is samenwerking tussen partijen centraal, zowel op juridisch als op technisch niveau. Door een gedegen plan van aanpak te ontwikkelen en te implementeren, kan worden gezorgd voor een verantwoorde en juridisch correcte aanpak van de verwerking van persoonsgegevens.