PRIVACYPOSITIE
DE VERWERKERSOVEREENKOMST
DE LASTIGE VRAGEN
Xxxxx Xxxx
13 januari 2021
[TITEL]
The Data Lawyers
[datum]
PRIVACYPOSITIE
INTRODUCTIE ONDERWERP EN OPZET
3
INHOUDSOPGAVE
1. (Gezamenlijk) verwerkingsverantwoordelijke vs. verwerker
2. Vereisten art. 28 AVG
3. Nadere vereisten verwerkersovereenkomst
4. Paneldiscussie
4
(GEZAMENLIJK) VERWERKINGSVERANT- WOORDELIJKE VS. VERWERKER
Voorbeelden bronnen/literatuur:
• EDPB: Guidelines 07/2020 on the concepts of controller and processor in the GDPR; version for public consultation (“Guidelines co-pro”)
Met handige flow-chart!
• IIR & The Data Lawyers: Whitepaper (Gezamenlijk) verwerkingsverantwoordelijke of verwerker? (samenvatting EDPB)
• Xxxxx Xxxx & Xxxxxxx Xxxx: Verwerker of (gezamenlijk) verwerkingsverantwoordelijke: EDPB biedt duidelijkheid? (Tijdschrift voor Internetrecht 2020 nr. 6)
5
(GEZAMENLIJK) VERWERKINGSVERANT- WOORDELIJKE VS. VERWERKER
Verwerkingsverantwoordelijke is een partij die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Wanneer meerdere verwerkingsverantwoordelijken gezamenlijk zeggenschap hebben over het doel en de middelen van de verwerking, zijn zij gezamenlijke verwerkings-verantwoordelijken.
Verwerker is een partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
6
(GEZAMENLIJK) VERWERKINGSVERANT- WOORDELIJKE VS. VERWERKER
7
[TITEL]
The Data Lawyers
[datum]
VERWERKERS- OVEREENKOMST
VERWERKERSOVEREENKOMST
Voorbeelden bronnen/literatuur/template overeenkomsten:
• Autoriteit Persoonsgegevens, onderzoeksrapport van september 2019: ‘Werkende verwerkersovereenkomsten’ (AP onderzoeksrapport; link)
• Datatilsynet (de Deense privacytoezichthouder), SCC zoals goedgekeurd door de EDPB (SCC Datatilsynet; 19 p.; link), en de corresponderende opinie van de EDPB (Opinion 14/2019; EDPB re Datatilsynet; link)
• De Sloveense privacy-toezichthouder, SCC (nog niet beschikbaar), en de corresponderende opinie van de EDPB (Opinion 17/2020; EDPB re Sloveense SCC; link)
• Europese Commissie: concept controller-processor SCC van de Europese Commissie, conceptversie (EC co-pro SCC; link) en concept transfer SCC van de Europese Commissie, conceptversie (EC transfer SCC; link).
9
VEREISTEN ART. 28 AVG
• Overeenkomst of andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, met daarin:
o Onderwerp en de duur van de verwerking
o De aard en het doel van de verwerking
o Het soort persoonsgegevens en de categorieën van betrokkenen
o De rechten en verplichtingen van de verwerkingsverantwoordelijke
o De overeenkomst of rechtshandeling bepaalt verder met name dat de verwerker: […]
10
VEREISTEN ART. 28 AVG
1. Persoonsgegevens uitsluitend verwerkt o.g.v. schriftelijke instructies van de verwerkingsverantwoordelijke (o.a. m.b.t. doorgifte; tenzij… )
2. Personen met toegang tot de persoonsgegevens: contractuele of wettelijke waarborg vertrouwelijkheid
3. Alle overeenkomstig artikel 32 vereiste maatregelen neemt m.b.t. beveiliging
van de verwerking
4. Verleent bijstand bij het beantwoorden van verzoeken m.b.t. privacyrechten betrokkenen (rekening houdend met…)
5. Verleent bijstand verleend bij nakoming van de verwerkingsverantwoordelijke’s verplichtingen m.b.t. DPIA’s, voorafgaande raadpleging en m.b.t. datalekken
11
VEREISTEN ART. 28 AVG
6. Na afloop van de verwerkingsdiensten alle persoonsgegevens (i) wist of (ii) terugbezorgt, en kopieën verwijdert, ter keuze van de verwerkingsverantwoordelijke (tenzij…)
7. Alle informatie ter beschikking stelt die nodig is om de nakoming art. 28 AVG aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt
8. De verwerkingsverantwoordelijke onmiddellijk in kennis stelt indien naar zijn mening een instructie inbreuk oplevert op de AVG of op bepalingen inzake gegevensbescherming o.g.v. EU-recht of recht van een lidstaat
9. Alleen sub-verwerker als algemene of specifieke toestemming; overeenkomst of een andere rechtshandeling; dezelfde verplichtingen inzake gegevensbescherming opgelegd; ‘hoofdverwerker’ blijft aansprakelijk voor evt. niet-nakoming
12
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Keuze verwerker: due diligence
• “[…] exchange of relevant documentation (e.g. privacy policy, terms of service, record of processing activities, records management policy, information security policy, reports of external audits, recognised international certifications, like ISO 27000 series).” (EDPB Guidelines co-pro)
• The following elements should be taken into account: expert knowledge, reliability, resources, reputation, code of conduct or certification mechanism. (EDPB Guidelines co-pro)
13
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Algemene vereisten
• “[…] the processing agreement should not merely restate the provisions of the GDPR […]” (EDPB Guidelines co-pro)
• “Also, the imbalance in the contractual power of a small data controller with respect to big service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law.” (EDPB Guidelines co-pro)
• “Omdat de risico’s rondom verwerkingen niet statisch zijn is het nodig een verwerkersovereenkomst periodiek te herzien en bij te stellen.” (AP onderzoeksrapport)
• “The Clauses shall take priority over any similar provisions contained in other agreements between the parties.” (SCC Datatilsynet)
14
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Definities
• “[…] better to refer, in general, to the applicable legislation in data protection matter, where relevant, instead of to a specific act.” (EDPB Datatilsynet; maar
m.b.t. template)
• “[…] encourages […] to adopt a broader wording when referencing to “employees” as there may be other persons than employees processing personal data under the authority of the processor. Wording such as “person under the authority of the processor” or “persons employed directly or indirectly by” would be more appropriate.” (EDPB Datatilsynet)
15
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Bijstand en informeren
• “[…] the SCCs needs to give details on the manner in which the processor is required to provide assistance […] the SCCs should set out the steps to be taken by the data processor in case the latter directly receives a request from a data subject […]” (EDPB re Datatilsynet)
• M.b.t. DPIA’s: “[…] Het is zeer wel mogelijk dat die toetsing bij de verwerker plaatsvindt […]” (AP onderzoeksrapport)
• “The contract shall include details on how often and how the flow of information between the processor and the controller should take place so that the controller is fully informed as to the details of the processing.” (EDPB Guidelines co-pro)
16
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Onrechtmatige instructie
• “The EDPB recommends the parties to negotiate and agree in the contract the consequences of the notification of an infringing instruction sent by the processor and in case of inaction from the controller in this context. One example would be to insert a clause on the termination of the contract if the controller persists with an unlawful instruction.” (EDPB Guidelines co-pro)
17
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Doorgifte
• “The contract should specify the requirements for transfers to third countries or international organisations […]” (EDPB Guidelines co-pro)
• Toegang tot persoonsgegevens vanuit buiten de EER kwalificeert ook als doorgifte (zie bijv. AP onderzoeksrapport, p. 9)
• “Please note that remote access by an entity from a third country to data located in the EEA is also considered a transfer” (EDPB Recommendations 01/2020, voetnoot 22, zie ook voetnoot 27)
• SCC Datatilsynet kunnen niet worden gebruikt voor legitimeren doorgifte (EDPB re Datatilsynet, p. 10)
• EC transfer SCC kunnen wél worden gebruikt als verwerkersovereenkomst (EC transfer SCC, clause 1(c); maar concept versie)
18
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Doorgifte: EC transfer SCC
• “The Parties shall provide the data subject with a copy of the Clauses upon request. To the extent necessary to protect business secrets or other confidential information […] the Parties may redact the text.”
• “Where more than one Party is responsible for any damage caused to the data subject resulting from a breach of these Clauses, both Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against either of these Parties.”
• “In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall […] inform the competent supervisory authority of such non- compliance.”
• “Data subjects may invoke and enforce these Clauses, as third party beneficiaries, against the data exporter and / or data importer, with the following exceptions”
19
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Vertrouwelijkheid
• “The data processor shall, at the request of the data controller, demonstrate that the concerned persons under the data processor’s authority are subject to the abovementioned obligation of confidentiality and are only given access to personal data on a need-to- know basis.” (EDPB re Sloveense SCC)
20
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Subverwerkers - I
• “Therefore, the main difference between the specific authorisation and the general authorisation scenarios lies in the meaning given to the controller’s silence: in the general authorisation situation, the controller’s failure to object within the set timeframe can be interpreted as authorisation. In both scenarios, the contract should include details as to the timeframe for the controller’s approval or objection and as to how the parties intend to communicate regarding this topic (e.g. templates).” (EDPB Guidelines co-pro)
• “[…] the list of sub-processors which are accepted by the data controller at the time of the signature of the contract should be included as an appendix to the SCCs, be it on the basis of a general authorisation or a specific one.” (EDPB re Datatilsynet)
• “De AP beveelt verwerkingsverantwoordelijken en verwerkers aan afspraken te maken over de wijze van het maken van bezwaar tegen het inschakelen van een subverwerker. Zo kan het zinvol zijn een termijn overeen te komen waarbinnen een verwerkingsverantwoordelijke bezwaar mag maken tegen inschakeling en welke criteria er kunnen zijn om een subverwerker af te wijzen. ” (AP onderzoeksrapport)
• “Regardless of the criteria suggested by the controller to choose providers, the processor remains fully liable […]” (EDPB Guidelines co-pro)
21
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Subverwerkers – II
• “Imposing the “same” obligations should be construed in a functional rather than in a formal way […]” (EDPB Guidelines co-pro)
• “A copy of such a sub-processor agreement and subsequent amendments shall – at the data controller’s request – be submitted to the data controller, thereby giving the data controller the opportunity to ensure that the same data protection obligations as set out in the Clauses are imposed on the sub-processor. Clauses on business related issues that do not affect the legal data protection content of the sub-processor agreement, shall not require submission to the data controller.” (SCC Datatilsynet)
• “The data processor shall agree a third-party beneficiary clause with the sub-processor where – in the event of bankruptcy of the data processor – the data controller shall be a third-party beneficiary to the sub-processor agreement and shall have the right to enforce the agreement against the sub-processor
engaged by the data processor […]” (SCC Datatilsynet)
22
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Beveiliging
• “The contract needs to include […] an obligation on the processor to obtain the controller’s approval before making changes […]” (EDPB Guidelines co-pro)
• “In some cases, the controller may provide a clear and detailed description of the security measures to be implemented. In other cases, the controller may describe the minimum security objectives to be achieved […]” (EDPB Guidelines co-pro)
• “[…] in het kader van de verantwoordingsplicht is het noodzakelijk dat bijvoorbeeld duidelijk wordt beschreven […] en hoe bijvoorbeeld het beveiligingsbeleid en maatregelen in elkaar zitten, niet slechts dat er een beveiligingsbeleid of certificaat is.” (AP onderzoeksrapport)
• “Een veel aangevoerde eis is het hebben van een ISO-27001 certificaat (informatiebeveiliging) waar het gaat om de levering van ICT. Er zal in zo’n geval moeten worden nagegaan wat de exacte bijbehorende scope is van zo’n certificaat om zeker te stellen dat alle elementen van de verwerking onder de scope van dat certificaat vallen.” (AP onderzoeksrapport)
• “[…] the description is also necessary in order to enable the controller to comply with its accountability duty pursuant to Article 5(2) and Article 24 GDPR […]” (EDPB Guidelines co-pro)
23
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Datalekken
• “The GDPR requires that the controller notify a breach without undue delay in order to minimize the harm for individuals and to maximize the possibility to address the breach in an adequate manner. Thus, the processor’s notification to the data controller should also take place without undue delay. The EDPB recommends that there is a specific time frame of notification (e.g. number of hours) and the point of contact for such notifications be provided in the contract. The contract should finally specify how the processor shall notify the controller in case of a breach.” (EDPB Guidelines co-pro)
• “[…] make clear that it is not up to the data processor to assess whether or not the data breach has to be notified to the competent SA.” (EDPB re Datatilsynet)
24
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Audits en inspecties
• “[…] het recht op controle vooral lijkt te zijn gekoppeld aan een vermoeden van niet nakoming of het bestaan van tekortkomingen. Het is de vraag of dat een verstandige keuze is. […] Een dergelijke afspraak kan wel goed werken als er ter compensatie afspraken zijn gemaakt over het periodiek aanleveren van generieke rapporten en rapportages die toezien op de naleving van de verwerkersovereenkomst.” (AP onderzoeksrapport)
• “The controller should also be able to request measures to be taken following the results of the inspection. […] rights […] of inspections and/or audit should not be limited to the facilities of the processor or sub-processors. The data controller should have access to the places where the processing is being carried out.” (EDPB re Datatilsynet)
• “The data exporter may choose to conduct the audit by itself, to mandate, at its own cost, an independent auditor or to rely on an independent audit mandated by the data importer. Where the data importer mandates an audit, it has to bear the costs of the independent auditor.” (Transfer SCC EC)
25
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Einde verwerking
• “The controller can decide at the beginning whether personal data shall be deleted or returned by specifying it in the contract […]” (EDPB Guidelines co-pro)
• “The contract or other legal act should reflect the possibility for the data controller to change the choice made before the end of the provision of services related to the processing. The contract should specify the process for providing such instructions.” (EDPB Guidelines co-pro)
• “If the controller chooses that the personal data be deleted, the processor should ensure that the deletion is performed in a secure manner, also in order to comply with Article 32 GDPR. The processor should confirm to the controller that the deletion has been completed within an agreed timescale and in an agreed manner.” (EDPB Guidelines co-pro)
• Maak de afspraken concreet: “Te denken valt bijvoorbeeld aan de termijn waarbinnen dit gebeurt, in welk bestandsformaat de persoonsgegevens worden aangeleverd en hoe deze persoonsgegevens beveiligd zijn.” (AP onderzoeksrapport)
• “[…] in some situations, the data processing agreement might be terminated before the “main agreement.”
(EDPB Datatilsynet)
26
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Annexen verwerkersovereenkomst
• In de EDPB Guidelines co-pro worden diverse voorbeelden genoemd van hoe de
bijlagen kunnen worden ingevuld (p. 33-34).
• “[…] recommended to include a procedure and a template for giving further instructions in an annex to the contract […]” (EDPB Guidelines co-pro)
• “Het was voor de AP in een aantal gevallen niet direct duidelijk welke verwerking er exact plaatsvond bij de verwerker. Het is wenselijk dat dit onomstotelijk uit de verwerkersovereenkomst blijkt.” (AP onderzoeksrapport)
• “[…] the purpose and the nature of the processing are described, as well as the type of personal data processed, the categories of data subjects concerned and the duration of the processing. […] it should be clear that in case of several processing activities, these elements have to be completed for each of them.” (EDPB re Datatilsynet)
27
NADERE VEREISTEN VERWERKERSOVEREENKOMST
Annexen verwerkersovereenkomst
28
[TITEL]
The Data Lawyers
[datum]
PANELDISCUSSIE
PANELDISCUSSIE
• I Xxx Xxxx – Chao Legal – adviseert met name cliënten in de retailsector (vanuit positie als verwerkingsverantwoordelijke)
• Xxxxxx Xxxx – Baan Legal Services – adviseert met name leveranciers in Brainport Eindhoven bij het sluiten van verwerkersovereenkomsten met klanten die gevestigd zijn in heel Europa.
• Xxxxxxxx Xxxxx - XxxxxXxxxx adviseert cliënten in verschillende branches; voornamelijk verwerkingsverantwoordelijken, die soms ook zelf verwerker zijn
• Xxxxx Xxxx – the Data Lawyers – staat als advocaat privacyrecht cliënten bij op uiteenlopende privacy onderwerpen, waaronder het opstellen en uitonderhandelen van verwerkersovereenkomsten.
30
PANELDISCUSSIE
Onderwerpen:
• Privacypositie partijen
• Datalekken
• Subverwekers
• Doorgifte
• Audits
• Teruggave/vernietiging van de persoonsgegevens
• Aansprakelijkheid
• Bijlagen
• Algemeen
• Sluiten van verwerkersovereenkomsten met niet-contractspartijen
31
PANELDISCUSSIE
Links die zijn gedeeld tijdens de paneldiscussie:
• xxxxx://xxxx.xx/xx
• xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxx/xxxxxxx/xxxxx/0000-00/XXXXX- uitgave.pdf (maar oude versie)
• xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx-xxxxxx/xxxx-xxxx-xxxxxx- report/#/
32
PANELDISCUSSIE
Links die zijn gedeeld tijdens de paneldiscussie:
• Artikel 13.1 GIBIT 2020: “De partij die toerekenbaar tekortschiet in de nakoming van zijn verplichtingen, of jegens de ander onrechtmatig handelt, is tegenover de andere partij aansprakelijk voor de door deze aldus geleden en/of te lijden schade.“
• Artkel 13.5 GIBIT 2020: “ten aanzien van door de toezichthoudende autoriteit opgelegde boetes: (1) voor zover die boetes ook rechtstreeks aan Leverancier hadden kunnen worden opgelegd, maar niet zijn opgelegd; en (2) onder de voorwaarde dat Opdrachtgever Leverancier:
(a) onverwijld schriftelijk informeert over een door een toezichthoudende autoriteit gestart onderzoek dat kan leiden tot een boete alsmede over en het bestaan en de inhoud van de opgelegde boete; en (b) Leverancier volledig betrekt bij het voeren van verweer tegen die boete althans het aan Leverancier toe te rekenen deel van die boete.”
• Toelichting: “[…] In de ARBIT is gekozen voor een onbeperkte aansprakelijkheid bij tekortkomingen in verband met de verwerking van persoonsgegevens. Dat lijkt in veel gevallen echter niet proportioneel. Daarom is in de GIBIT in sub iv opgenomen dat er slechts geen beperking geldt voor boetes die ook aan verwerker hadden kunnen worden opgelegd (om zo te benadrukken dat de boete moet zien op handelingen in de risicosfeer van Leverancier liggen) en onder de voorwaarde dat Leverancier tijdig wordt geinformeerd over onderzoek door de toezichthouder en wordt betrokken bij het voeren van verweer tegen de boete. Er staat overigens uitdrukkelijk “wordt betrokken bij” en niet iets als “afstemmen”. Het is immers in ultimo aan Opdrachtgever zelf om te bepalen of en zo ja hoe verweer tegen een aan Opdrachtgever opgelegde boete wordt gevoerd. Tegenover die partijautonomie staat wel dat het naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn om enerzijds wel de boete op de Leverancier te willen verhalen doch anderzijds niet diezelfde Leverancier in staat stellen verweer te voeren tegen (het aan Leverancier toe te rekenen deel van) die boete. Dat zou een soort ‘blanco cheque’-situatie zijn en dat is niet de bedoeling. In dat licht moet deze genuanceerde set aan randvoorwaarden dan ook worden gezien.”
33
PANELDISCUSSIE
Xxxxx Xxxx| LinkedIn
Moderator
Xxxxxxxx Xxxxx | LinkedIn
Panellid
I Xxx Xxxx | LinkedIn
Panellid
Xxxxxx Xxxx | LinkedIn
Panellid
34
THE DATA LAWYERS
Highly skilled partners with over 30 years of experience at international law firms.
35