Lisanne is advocaat voor corporate litigation en contracten
lisanne.meijerhof@russell.nl +31 20 301 55 55Reinier adviseert nationale en internationale bedrijven
reinier.russell@russell.nl +31 20 301 55 55Sinds de inwerkingtreding van de AVG schenden bedrijven massaal de nieuwe privacywetgeving. Dit komt deels door onwetendheid. Onder bedrijven heerst er veel verwarring over de termen verwerker en verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens. Dit kan leiden tot het onjuist invullen van de verplichte verwerkersovereenkomst.
Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Deze Europese privacyverordening bevat de regels voor het (automatisch) verwerken van persoonsgegevens. Inmiddels zijn er enkele maanden voorbij en blijkt dat bedrijven massaal en vaak onbedoeld de nieuwe wetgeving schenden. Met name is niet duidelijk wanneer men ‘verwerker’ van persoonsgegevens dan wel ‘verwerkingsverantwoordelijke’ is. Dit is vooral bij het plaatsen van een privacyverklaring en het sluiten van de verplichte verwerkersovereenkomst van groot belang. Hoe zit dit precies?
De nieuwe Europese privacywetgeving beoogt de privacy van burgers in de EU te beschermen. De AVG geldt voor alle bedrijven en instellingen binnen én buiten Europa die persoonsgegevens van inwoners van de EU bezitten of verwerken.
De AVG verplicht organisaties om vooraf inzichtelijk te maken welke persoonsgegevens zij verwerken, voor welk doel, met wie die persoonsgegevens eventueel worden gedeeld en hoelang de persoonsgegevens worden bewaard. Dat kan door middel van een privacyverklaring op de website van de organisatie.
De verwerkingsverantwoordelijke is degene die alleen, of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Deze beslist ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt.
Onder de AVG heeft de verwerkingsverantwoordelijke een verantwoordingsplicht, die inhoudt dat de organisatie moet kunnen aantonen dat deze aan de regels van de AVG voldoet. Onderdeel hiervan kan de eerdergenoemde privacyverklaring op de bedrijfswebsite zijn. Omdat vrijwel ieder bedrijf met persoonsgegevens werkt – al is het maar die van het eigen personeel – zult u al snel verwerkingsverantwoordelijke zijn.
De verwerker is de partij die door de verwerkingsverantwoordelijke is ingeschakeld om persoonsgegevens te verwerken. Hierbij bepaalt de verantwoordelijke ‘wat’ er moet gebeuren en ‘hoe’. Belangrijk hierbij is dat degene die deze verwerking uitvoert niet onder direct gezag van de verwerkingsverantwoordelijke staat. Een medewerker van de organisatie zelf wordt niet als verwerker gezien onder de AVG. Doorgaans is de verwerker een derde partij buiten de onderneming. Een paar (makkelijke) voorbeelden:
Onder de AVG heeft de verwerker enkele nieuwe verplichtingen. Er moet toestemming worden gevraagd voor het in dienst nemen van een andere verwerker (zogenoemde ‘sub-verwerker’), datalekken moet worden gemeld en een verwerkingsregister moet worden bijgehouden.
Ook de terminologie is gewijzigd: in de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de ‘verwerker’ de ‘bewerker’ genoemd.
Soms is het erg moeilijk te bepalen of u te maken heeft met een ‘verwerker’. Wat hierbij belangrijk is, is dat er moet worden ingeschat hoeveel eigen ruimte de dienstverlener heeft om te bepalen wat deze doet. Als verwerker heeft u namelijk geen zeggenschap over de verwerkingen. De verwerker mag alleen handelen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en naar diens instructies. Op het moment dat de verwerker zelfstandig beslissingen gaat nemen over de doelen van de verwerking en de middelen, dan wordt diegene zelf verantwoordelijk voor die (nieuwe) verwerkingen. Dit betekent dat het enkele feit dat u een opdracht krijgt van een verwerkingsverantwoordelijke niet voldoende is om al te spreken van ‘verwerker’.
Enkele voorbeelden:
Bepalend is dus: hoeveel ruimte heeft de dienstverlener om zelfstandig het doel en de middelen te bepalen voor de concrete invulling van de opdracht(en)?
Organisaties kunnen zowel verwerker als verwerkingsverantwoordelijke zijn. Het bijvoorbeeld al genoemde salarisadministratiekantoor dat verwerker is van de gegevens van anderen, is verwerkingsverantwoordelijke voor de gegevens van het eigen personeel.
Onder de AVG heeft de verwerker een aantal nieuwe zelfstandige verplichtingen gekregen. De belangrijkste daarvan – waar veel verwarring over heerst – moeten worden opgenomen in de verwerkersovereenkomst. De verwerkersovereenkomst heeft tot doel om de gegevensverwerking, uitgevoerd door de verwerker voor een verwerkingsverantwoordelijke, vast te leggen.
Zowel verwerkingsverantwoordelijke als verwerker kunnen worden aangesproken op het ontbreken van een overeenkomst. Dit betekent dat beide verplicht zijn om een verwerkersovereenkomst te sluiten, op straffe van een boete.
Een verwerkersovereenkomst bestaat grotendeels uit verplichtingen die de verwerker heeft, namelijk:
Daarnaast moet het volgende worden opgenomen in een verwerkersovereenkomst:
In de praktijk is het voor bedrijven vaak onduidelijk wie de ‘verwerker’ is en wie ‘verwerkingsverantwoordelijke’. Het resultaat hiervan is dat in overeenkomsten de rollen worden omgedraaid en dat degene die opdracht geeft wordt benoemd tot ‘verwerker’. Beide hebben andere verantwoordelijkheden naar elkaar toe, daarom is het van uiterst belang om goed te bepalen of u verwerker bent of verwerkingsverantwoordelijke.
De AVG is inmiddels al een paar maanden van kracht. Onder de AVG zijn de verwerkingsverantwoordelijke en de verwerker beide verplicht om de bepalingen in de verordening na te leven. Als bedrijven (nog) niet voldoen aan de nieuwe wetgeving, kunnen deze als sanctie een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De hoogte van deze boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, indien deze hoger is.
Wilt u weten of uw bedrijf ‘AVG-proof’ is? Wilt u dat Russell Advocaten een verwerkersovereenkomst opstelt of uw bestaande overeenkomsten controleert? Neem dan contact met ons op.
Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?
In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.
Turboliquidatie is een snelle manier om een rechtspersoon te beëindigen. Van de regeling werd echter ook misbruik gemaakt, waardoor schuldeisers werden benadeeld. Een nieuwe wet moet dit voorkomen. Aan welke eisen dient een turboliquidatie voortaan te voldoen? En welke mogelijkheden hebben schuldeisers om hun vorderingen te innen?
Ondernemers kunnen verschillende redenen hebben om te stoppen met hun onderneming. De verwachte winsten kunnen tegenvallen, een pensioen komt in zicht of er komt een einde aan een samenwerking (joint venture). Waar moeten ondernemers op letten bij het beëindigen van een onderneming?
Het tenuitvoerleggen van vonnissen is in beginsel een nationale zaak. Maar hoe zit dit als het geschil al bij een buitenlandse rechter is behandeld. Kan dit buitenlandse vonnis in Nederland ten uitvoer worden gelegd of is dit niet mogelijk?
Een Afrikaans masker dat voor 150 euro was verkocht bracht op een veiling 4,2 miljoen euro op. Konden de Franse verkopers de verkoop ongedaan maken? Hoe zou deze zaak in Nederland zijn afgelopen?
