Vakcentrum in gesprek met Autoriteit Persoonsgegevens over verwerkersovereenkomsten softwarebedrijven

Uit signalen die het Vakcentrum krijgt blijkt dat softwarebedrijven hun eigen verwerkingsovereenkomsten hanteren waarbij de risico’s te vaak eenzijdig bij de inhurende ondernemer worden gelegd. Het Vakcentrum heeft hierover binnenkort een gesprek met de Autoriteit Persoonsgegevens.

shutterstock_207664207

Als gevolg van de net ingevoerde AVG moet een ondernemer die een softwarebedrijf inschakelt als verwerkingsverantwoordelijke een overeenkomst sluiten met het softwarebedrijf als verwerker.

In de relatie tussen winkeliers en software bedrijven is de winkelier de verwerkingsverantwoordelijke en het software bedrijf de verwerker. Het is dan ook de verantwoordelijkheid van de verwerkingsverantwoordelijke om een verwerkersovereenkomst te sluiten met elk van zijn verwerkers (‘bijvoorbeeld een softwarebedrijf’). In de praktijk echter komt het veel voor dat een verwerker een eigen standaard-verwerkingsovereenkomst voorstelt die is toegespitst op zijn specifieke dienstverlening. Sterker nog de verwerkersovereenkomst wordt automatisch van kracht omdat het volgens de verwerker onderdeel is van de algemene voorwaarden. De risico’s worden daarbij te vaak bij de verwerkingsverantwoordelijke gelegd.

Voorbeelden

Onderstaand enkele voorbeelden:

  • Opdrachtgever kan …… verzoeken nadere beveiligingsmaatregelen te treffen. ……. is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen
  • Alle rechten en verplichtingen uit de Overeenkomst, waaronder begrepen de van toepassing zijnde algemene voorwaarden en/of beperkingen van aansprakelijkheid, zijn derhalve ook van toepassing op de verwerkersovereenkomst.

Afhankelijkheid

Uit de voorbeelden blijkt duidelijk dat er sprake is van disbalans. Een disbalans die door het belang aan de zijde van de winkelier onmogelijk is te wijzigen. Opzeggen van de relatie met de verwerker door de verwerkingsverantwoordelijke is namelijk met het oog op de continuïteit van de bedrijfsvoering in veel gevallen onmogelijk.

In gesprek met Autoriteit Persoonsgegevens

Het Vakcentrum pleit voor evenwichtige verwerkersovereenkomsten. Verwerkersovereenkomsten waarin de risico’s gelijkelijk zijn verdeeld. Het zou daarbij goed zijn als er, naast de bepalingen die verplicht opgenomen dienen te worden in een verwerkersovereenkomst, vanuit de Autoriteit Persoonsgegevens ook ‘vaste’ minimum eisen worden geformuleerd waaraan deze bepalingen dienen te voldoen. Die oproep heeft het Vakcentrum in een brief aan de Autoriteit Persoonsgegevens gedaan. Inmiddels heeft de Autoriteit Persoonsgegens het Vakcentrum uitgenodigd voor een gesprek.

Uw eigen verwerkersovereenkomsten maken

Op de speciale AVG-pagina vindt u een model voor het maken van een verwerkersovereenkomst. Daar vindt u bovendien de link naar de gratis Vakcentrum-AVG-tool waarmee u uw volledige bedrijfsvoering AVG-proof kunt maken.

Terug naar het nieuwsarchief