Europese Commissie publiceert een model verwerkingsovereenkomst: gebruiken of niet? (Timelex)

Auteurs: Pieter Gryffroy en Bernd Fiten (Timelex)

Publicatiedatum: 16/06/2021

Op 4 juni 2021 kondigde de Europese Commissie twee nieuwe sets van modelcontractbepalingen (“standard contractual clauses”) aan. De ene set is bedoeld voor situaties tussen verwerkingsverantwoordelijken en verwerkers waarbij er geen sprake is van een doorgifte van persoonsgegevens buiten de EER. De andere set is bedoeld voor situaties waarbij er wel sprake is van een doorgifte naar derde landen (buiten de EER).

Deze blog gaat over de set bedoeld voor situaties waarbij er geen doorgifte van persoonsgegevens naar derde landen is. In dergelijke gevallen wordt vandaag een verwerkingsovereenkomst (“data processing agreement”) gesloten, maar is het een goed idee om die verwerkingsovereenkomst te vervangen door het model van de Europese Commissie?

Wat staat er in het model?

Het model van de Europese Commissie – vaak “template” genoemd – bevat alle bepalingen die noodzakelijk zijn op basis van de Algemene Verordening Gegevensbescherming (AVG of GDPR), meer bepaald artikel 28.

De modelcontractbepalingen zijn voorlopig enkel in een beperkt aantal talen beschikbaar (niet in het Nederlands).

Moet ik bestaande overeenkomsten aanpassen?

U bent niet verplicht om de modelcontractbepalingen te gebruiken, ook niet indien u een nieuwe verwerkingsovereenkomst sluit (bv. met een nieuwe partner of dienstverlener). Het is dus niet noodzakelijk om bestaande verwerkingsovereenkomsten te vervangen door de nieuwe modelcontractbepalingen.

Is het gebruik van het model aan te raden?

Voor nieuwe contracten kan het logisch lijken om het model te gebruiken, want het is een model van de Europese Commissie. Omdat het model voldoet aan de basisvereisten van artikel 28 AVG, kunt u op uw beide oren slapen. Of toch niet?

Voor u gebruik maakt van de modelcontractbepalingen, houd rekening met het volgende.

Denk aan uw positie

Het is belangrijk dat u aan uw specifieke positie denkt bij het opstellen of onderhandelen van de verwerkingsovereenkomst. Treedt u op als verwerkingsverantwoordelijke of verwerker? Dat kan een groot verschil maken.

Op basis van uw positie kan het immers zeer nuttig zijn om bepaalde clausules op te nemen (of juist niet) in uw verwerkingsovereenkomst om uw belangen als verwerkingsverantwoordelijke of verwerker veilig te stellen. Hoewel artikel 28 AVG heel wat verplichte bepalingen voorschrijft, laat de AVG ook ruimte voor verdere contractuele preciseringen volgens de wil van de partijen.

Bovendien moet u ook zeker zijn dat de verhouding waar u zich in bevindt een verhouding is van verantwoordelijke en verwerker. De kwalificatie van de contractuele relatie onder de AVG is immers niet altijd eenvoudig.

Denk aan specifiekere afspraken en uw noden

De modelcontractbepalingen zijn een algemeen model, waardoor er weinig rekening wordt gehouden met specifieke afspraken die de partijen met elkaar kunnen maken. Uw noden kunnen immers anders zijn dan die van andere organisaties of dienstverleners.

Denk bijvoorbeeld aan de volgende afspraken die kunnen worden gemaakt:

1. Audits bij de verwerker

Hoewel de verwerker audits dient toe te laten, vermelden de modelcontractbepalingen niet wanneer (bv. dag en uur) audits mogen plaatsvinden en wie de kosten hiervoor zal moeten dragen. Deze praktische afspraken zijn nochtans belangrijk, zowel voor de verwerkingsverantwoordelijke als de verwerker:

  • als verwerkingsverantwoordelijke voorkomen duidelijke afspraken discussie over organisatie en kosten, en
  • als verwerker voorkomt u dat uw dagelijkse werking wordt verstoord door te ingrijpende of repetitieve audits.

2. Bijstand door de verwerker

De verwerker moet volgens de AVG aan de verantwoordelijke bijstand verlenen bij onder andere:

  • het behandelen van verzoeken van betrokkenen;
  • gegevensbeschermingseffectbeoordelingen (GEB) en voorafgaande consultaties;
  • het melden van inbreuken;
  • het nemen van technische en organisatorische maatregelen voor beveiliging van gegevens.

Ook hier voorziet het model (met uitzondering van het melden van inbreuken) weinig modaliteiten voor die bijstand, wat nochtans sterk aan te raden is. Afhankelijk van de rol van uw organisatie zullen de belangen verschillend zijn en dus onderhandelt u hier best over en neemt u dit op in de finale overeenkomst. Het gebruik van een algemeen model dat deze bijstandsverplichtingen in het midden laat kan tot discussie leiden.

3. Aanstellen van subverwerkers

Indien er voor het aanstellen van subverwerkers wordt gekozen voor het verlenen van algemene toestemming aan de verwerker, wordt in het model niet geregeld wat het gevolg is van een bezwaar tegen een nieuwe subverwerker door de verwerkingsverantwoordelijke.

Het is nochtans wel een goed idee om de gevolgen van een bezwaar contractueel te regelen, want in de praktijk bestaan er verschillende mogelijkheden, zoals:

  • De subverwerker niet te gebruiken bij verwerking van de gegevens van de verantwoordelijke die bezwaar maakt;
  • Toch gebruik te maken van de subverwerker, maar de verantwoordelijke de mogelijkheid bieden om af te zien van het contract;
  • Geen gebruik te maken van de subverwerker bij de verwerking van gegevens van de verantwoordelijke die bezwaar maakt totdat een passende oplossing is gevonden;
  • Enz.

Het is belangrijk deze gevolgen van tevoren te bepalen. Voor sommige verantwoordelijken kan het bijvoorbeeld onmogelijk zijn om bij bezwaar tijdig een andere verwerker te vinden, indien de enige mogelijkheid bij bezwaar is om af te zien van het hoofdcontract met de verwerker. Omgekeerd kan het gebeuren dat een verwerker gemotiveerd is om het bezwaar van een verantwoordelijke te faciliteren door de subverwerker waartegen bezwaar werd gemaakt niet te gebruiken in die verhouding, maar dat die oplossing technisch of financieel niet haalbaar is. Het is daarom van belang om vooraf duidelijke contractuele afspraken te maken, afgestemd op de behoeften van de partijen en de bijzonderheden van de situatie. Op die manier kunnen discussies en conflicten achteraf voorkomen worden.

Besteed aandacht aan het invullen van het model

Als het gebruik van de modelcontractbepalingen geschikt is in uw concrete situatie, bedenk dan dat het gebruik ervan ook staat of valt door de manier waarop het model wordt ingevuld. Het gaat weliswaar om een model, maar er zijn verschillende zaken die u zelf moet invullen.

Denk bijvoorbeeld aan:

  • het toepassingsgebied van de verwerking in bijlage bij de modelcontractbepalingen; en
  • het verduidelijken van de veiligheidsmaatregelen die de verwerker moet treffen.

Om de verwerkingsactiviteit af te lijnen, is het steeds belangrijk om dit zorgvuldig in te vullen, maar het model geeft u hierbij geen of weinig richtlijnen.

Conclusie

Om bovenstaande redenen is het in vele gevallen beter om u niet te beperken tot het gebruik van de modelcontractbepalingen, maar om specifieke afspraken te maken met de andere partij. Kijk hiervoor goed naar uw concrete situatie.

  • Indien u als verwerkingsverantwoordelijke aan grootschalige verwerking van (gevoelige) persoonsgegevens doet, of als verwerker het verwerken van persoonsgegevens uw voornaamste professionele activiteit is, dan maakt u beter meer concrete afspraken (door u niet tot het model te beperken).
  • Indien het gaat om een eenvoudige verwerkingsactiviteit, dan kan u misschien wel volstaan met het gebruik van het model, op voorwaarde dat u het correct invult en hulp inroept indien nodig. Waak er daarbij ook over dat de verhouding met de tegenpartij wel degelijk kwalificeert als een verantwoordelijke-verwerker verhouding, zodat de modelbepalingen effectief van toepassing kunnen zijn.

Lees hier het originele artikel