U bent hier

Aansprakelijkheid bij verwerkersovereenkomsten, verantwoordelijken laten zich niet ‘wegcontracteren’

Het is inmiddels ruim een half jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Het is goed mogelijk dat u de ophef rondom de inwerkingtreding een beetje overdreven vond. Maar al die aandacht heeft wel geresulteerd in bewustwording van het beschermen van persoonsgegevens. Onderwijsorganisaties staan paraat! In een tijd van vergaande digitalisering kan ik dat alleen maar toejuichen.

Ook bij Verus merken we die toegenomen bewustwording. Met name verwerkersovereenkomsten zijn regelmatig onderwerp van gesprek. Dat is enigszins opvallend: de voorganger van de AVG, de Wet bescherming persoonsgegevens (Wbp), kende al een soortgelijke verplichting die toen ‘bewerkersovereenkomst’ heette.

De meeste vragen krijgen wij over verwerkersovereenkomsten die afwijken van de bekende standaardmodellen (zoals bijvoorbeeld de Model Verwerkersovereenkomst 3.0, onderdeel van het Convenant Digitale Onderwijsmiddelen en Privacy).

Aansprakelijkheid eigenhandig beperkt

In de praktijk sturen verwerkers sterk aangepaste ‘standaard’- of een eigen verwerkersovereenkomst toe, waarbij bepalingen over aansprakelijkheid van de verwerker zijn uitgesloten of sterk zijn beperkt. En dat soms ook nog gecombineerd met de algemene voorwaarden van de verwerker zelf die van toepassing zijn. Knap lastig voor bijvoorbeeld een Functionaris Gegevensbescherming, die ook juridisch op de hoogte moet zijn. Het initiatief van een verwerkersovereenkomst ligt namelijk bij de verwerkingsverantwoordelijke: meestal de school.

Want hoe zit het met de aansprakelijkheid?  

De verdeling van de aansprakelijkheid tussen de verwerkingsverantwoordelijke en verwerker, in relatie tot diegene(n) op wie de persoonsgegevens betrekking hebben (de medewerker / leerling), is opgenomen in art. 82 AVG. Hier staat dat zowel de verwerkingsverantwoordelijke en de verwerker hoofdelijk aansprakelijk kunnen zijn.

Vanwege het dwingendrechtelijke karakter van de AVG, kunnen verwerkingsverantwoordelijke en verwerker slechts onderling aanvullende afspraken maken die niet in strijd zijn met deze wet. Daarbij mag niet ten nadele van de betrokkene worden afgeweken. Vrij vertaalt: de school en de verwerker kunnen onderling wel afspraken over aansprakelijkheid maken, maar je kunt als het ware in een verwerkersovereenkomst je wettelijke verplichtingen en verantwoordelijkheden niet ‘wegcontracteren’!

Wat mag dan wel?

Toegestaan is om in de verwerkersovereenkomst afspraken te maken over de schade die een verwerkingsverantwoordelijke lijdt door het handelen van de verwerker. Een voorbeeld is dat verwerkingsverantwoordelijke en verwerker onderling afspraken maken over de doorberekening van een bestuurlijke boete van de Autoriteit Persoonsgegevens. Maar houdt daarbij rekening met de bepalingen in de hoofdovereenkomst en toepasselijke algemene voorwaarden van de leverancier.  

De Inkoopvoorwaarden ICT-goederen en -diensten van Verus kunt u hier gratis aanvragen.

De Algemene Inkoopvoorwaarden voor Leveringen en Diensten Verus kunt u hier gratis aanvragen.  

Nieuwe reactie inzenden

Michael Ashcroft

adviseur inkoop en aanbesteden
0348 74 44 65