Beheer

Juridische zaken
Europese vlag

IT-dienstverleners moeten aan de bak

Tot 25 mei 2018 krijgen organisaties de tijd om alles op orde te krijgen voor de nieuwe EU-privacywet.

© Europa
25 oktober 2016

Tot 25 mei 2018 krijgen organisaties de tijd om alles op orde te krijgen voor de nieuwe EU-privacywet.

Er is een nieuwe EU-privacywet: de Algemene Verordening Gegevensbescherming. Tot 25 mei 2018 krijgen organisaties de tijd om alles op orde te krijgen. De IT-dienstverlener krijgt meer verplichtingen. Er moeten gedetailleerdere afspraken worden gemaakt. Wie zijn verplichtingen niet nakomt, kan flinke boetes verwachten.

Met name de recente invoering van de meldplicht datalekken heeft veel organisaties ertoe aangespoord om bij hun IT-dienstverleners aan te dringen op nieuwe afspraken over het verwerken van hun persoonsgegevens. Nog amper zal de inkt van de handtekening onder het herziene bewerkerscontract, droog zijn, of partijen kunnen weer terug naar de onderhandelingstafel.

Vanaf mei 2018 krijgen partijen op basis van de Europese Algemene Verordening Gegevensbescherming (AVGB) te maken met nog meer privacyverplichtingen. Voor die tijd moet de bewerkersovereenkomst, als nog geen rekening is gehouden met de AVGB, opnieuw op de schop.

Omdat het onderhandelen over de inhoud van een bewerkersovereenkomst een slopende aangelegenheid kan zijn, doen partijen er goed aan daar tijdig mee te beginnen. De uiterste deadline dat een bewerkersovereenkomst AVGB proof moet zijn, is 25 mei 2018. Als dat niet (goed) gebeurt, riskeren beide partijen, anders dan nu het geval is, een hoge boete.

De toenemende risico’s op cyberincidenten en andere datalekken hebben privacycompliance tot een belangrijk maatschappelijk thema verheven. Naast de kansen voor de IT-sector, bijvoorbeeld op het gebied van IT-security, zullen IT-leveranciers zich, net als andere organisaties, ook rekenschap moeten geven van de steeds strengere privacyregels. In hun rol als dienstverlener krijgen IT-leveranciers meer en meer te maken met de verwerking van persoonsgegevens in opdracht van hun klanten. Dat doet zich bijvoorbeeld voor wanneer zij voor hun klanten IT-systemen bouwen, hostingactiviteiten aanbieden of support- en onderhoudsdiensten verlenen.

Eén Europese Privacywet

vanaf 25 mei 2018

Hoewel de Europese Unie momenteel aan alle kanten onder druk staat, is Brussel er na ruim vier jaar onderhandelen in geslaagd om de handen op elkaar te krijgen voor een nieuwe EU-privacywet: de Algemene Verordening Gegevensbescherming 2016/679 (AVGB). De AVGB dient ter vervanging van de nu alweer ruim 20 jaar oude privacyrichtlijn 95/46, waarop in Nederland de Wet bescherming persoonsgegevens is gebaseerd. Niet alleen behoefde de huidige privacyregelgeving een facelift, maar het doel was ook om een einde te maken aan de versnipperde privacyregelgeving binnen de EU. De AVGB beoogt eenzelfde niveau van bescherming te brengen voor alle EU-burgers. Overal zullen vanaf 25 mei 2018 binnen de EU (en vermoedelijk ook nog wel even het Verenigd Koninkrijk, ondanks een eventuele Brexit) dezelfde – zeer strenge – privacyverplichtingen gaan gelden, met hoge boetes oplopend tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een onderneming.

Omdat de AVGB tot zekere hoogte ook extraterritoriale werking kent, dat wil zeggen buiten de EU-grenzen, zullen eveneens niet-Europese organisaties, die producten of diensten leveren aan EU-burgers of hun gedrag monitoren, rekening moeten houden met de AVGB. Concreet betekent dat bijvoorbeeld dat de Amerikaanse IT-industrie die zich op de Europese markt richt, zich ook moet gaan voorbereiden op de komst van de AVGB.

Zorgvuldigheid is geboden als in het kader van de IT-dienstverlening persoonsgegevens worden verwerkt. Beveiligingsincidenten liggen al snel op de loer. De discussie over wanneer en hoe de IT-leverancier een datalek aan zijn klant moet melden, is door de komst van de meldplicht datalekken voer voor heikele discussies geworden. Sinds 1 januari moeten ernstige datalekken, waarbij persoonsgegevens betrokken zijn, binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP). Klanten moeten daarvoor afgaan op de informatie die zij van hun IT-leverancier ontvangen. Op hun beurt schakelen IT-leveranciers vaak onderaannemers in.

Wie 25 mei 2018 zijn zaakjes niet op orde heeft, riskeert een hoge boete

In de schakels moet worden uitgezocht waar de oorzaak van het lek zit, hoe dat het beste gedicht kan worden en vooral ook wie voor de gevolgen moet opdraaien. Dit leidt tot een keten van verantwoordelijkheden, waarbij de privacyregelgeving voorschrijft dat alle partijen onderling heldere afspraken moeten maken over hun rolverdeling en de wijze van omgang met de persoonsgegevens. Privacytechnisch moeten deze afspraken worden vormgegeven in een bewerkersovereenkomst. Zo’n overeenkomst vormt veelal een bijlage bij de IT-dienstverleningsovereenkomst. Niet alleen zullen deze overeenkomsten goed op elkaar afgestemd moeten zijn, maar partijen zullen ook goed bedacht moeten zijn op wat zij met elkaar willen afspreken over zaken zoals de toepasselijke beveiligingsmaatregelen, beveiligingsrapportages, de inzet van onderaannemers en het auditrecht van de klant.

Privacy proof

Tot 25 mei 2018 krijgen organisaties de tijd om hun gegevensverwerkingen volgens de nieuwste hoge EU-maatstaven privacy proof te maken. De aard van de verplichtingen hangt af van de rol die een partij privacytechnisch gezien heeft.

Indien de IT-leverancier als dienstverlener in opdracht van zijn klanten persoonsgegevens verwerkt – zoals hiervoor geschetst – heeft hij de rol van bewerker. Dit zal vanaf mei 2018 verwerker heten. Een andere mogelijkheid is dat de IT-leverancier voor eigen doeleinden persoonsgegevens verwerkt, en dus niet in opdracht van een andere partij. In dat geval draagt hij de rol van de (verwerkings)verantwoordelijke voor de verwerking van de persoonsgegevens. Daarbij kan het bijvoorbeeld gaan om zijn werknemers- of bezoekersgegevens. In dat kader kan hij overigens ook besluiten om een andere partij in de arm te nemen voor de verwerking van zijn persoonsgegevens. Denk bijvoorbeeld aan de situatie dat hij een payrollprovider voor de verwerking van zijn werknemersgegevens inschakelt.

Afspraken moeten gedetailleerder gemaakt worden dan nu het geval is

Nieuw is dat de AVGB niet alleen van toepassing zal zijn op de (verwerkings)verantwoordelijke, maar ook rechtstreeks op de verwerker. Naar huidig recht richten de belangrijkste privacyverplichtingen zich alleen nog tot de verantwoordelijke, en niet tot de bewerker. Dat gaat dus anders worden. Ook in zijn rol als bewerker (verwerker) zal de IT-dienstverlener veel meer verplichtingen gaan krijgen dan nu het geval is. Een van de nieuwe verplichtingen zal zijn dat de IT-dienstverlener, ook als verwerker, moet zorgen dat er een bewerkersovereenkomst tot stand komt.

Gedetailleerdere afspraken

Wat moet in een bewerkersovereenkomst staan? Momenteel zijn voor de afspraken die onderdeel moeten zijn van een bewerkersovereenkomst twee documenten van de privacytoezichthouder richtinggevend. Dat zijn de Richtsnoeren Beveiliging Persoonsgegevens uit 2013, en de Beleidsregels voor de Meldplicht Datalekken, waarmee bedrijven sinds 1 januari te maken hebben. Indien de AVGB eenmaal van toepassing is, moeten de bewerkersovereenkomsten gedetailleerdere afspraken omvatten dan nu al het geval is. De onderwerpen volgen verder niet meer uit een beleidsdocument, maar uit de AVGB zelf, zodat de eisen die aan bewerkersovereenkomst worden gesteld een wettelijke basis zullen krijgen.

Tot 25 mei 2018

Eisen aan een bewerkersovereenkomst

• Omschrijving diensten / verwerkingen / toegang / handelingen

• Betrouwbaarheidseisen

• Beveiligingsmaatregelen en audits

• Inhoud en frequentie beveiligingsrapportages

• Beveiligingsincidenten en datalekken

• Subbewerkers

• Doorgifte naar derde landen

• Heronderhandeling / beëindiging / noodplan

Vanaf 25 mei 2018

Eisen aan een bewerkersovereenkomst

• Onderwerp en duur van de verwerking

• Aard en doel van de verwerking

• Het soort persoonsgegevens

• Categorieën van betrokkenen

• Rechten en verplichtingen van verwerkingsverantwoordelijke

• Schriftelijke instructies (onder meer met betrekking tot doorgiften)

• (Wettelijke) geheimhoudingsverplichtingen

• Beveiligingsmaatregelen

• Verplichtingen inzake subverwerkers / doorzet verplichting

• Bijstand verlenen bij verzoeken uitoefening rechten betrokkenen

• Bijstand verlenen bij inbreuken beveiliging (datalekken)

• Bijstand verlenen bij Privacy Impact Assessment en voorafgaande raadpleging van de toezichthouder

• Wissen of terugbezorgen van persoonsgegevens na afloop verwerkingsdiensten

• Informatieplicht en auditrecht

Naar huidig recht staat geen boete op het niet hebben van een (geldige) bewerkersovereenkomst. Wel kan de toezichthouder een last onder dwangsom opleggen. Verder kan de toezichthouder bij niet-naleving van de beveiligingsplicht en de meldplicht datalekken een boete opleggen tot maximaal 820.000 euro of 10 procent van de jaaromzet van een onderneming. Daarmee staat de relevantie van het maken van deugdelijke afspraken over de verwerking van persoonsgegevens op zichzelf ook nu al vast.

Nieuw wordt dat vanaf mei 2018 een boete kan worden opgelegd voor het niet hebben van een (geldige) bewerkersovereenkomst, te weten van 10 miljoen euro of 2 procent van de wereldwijde jaaromzet van een onderneming. De niet-naleving van andere privacyverplichtingen, zoals meldplicht datalekken, kan zelfs beboet worden met sancties oplopend tot maximaal 20 miljoen euro of 4 procent van wereldwijde jaaromzet van een onderneming.

Standaardbepalingen

Mogelijk komen er officiële standaardcontractsbepalingen van de Europese Commissie of de lokale privacytoezichthouder voor de relatie met de verwerker. Voordat het zover is, wordt het aan de markt overgelaten om met eigen templates te werken. Op dit moment zijn er reeds diverse branchespecifieke voorbeelden van bewerkersovereenkomsten in omloop, zoals die van de NZA en KING (voor respectievelijk de zorg- en publieke sector). Geen van deze modellen voldoet naar onze mening volledig aan alle eisen die door de toezichthouder op dit moment worden gesteld, laat staan dat deze reeds AVGB-proof zijn. Wat betreft de IT-sector, heeft de branchevereniging Nederland ICT ook een model opgesteld. Uiteindelijk is het de vraag of contractspartijen daarmee altijd geholpen zijn. Specifieke afspraken blijven in de praktijk nodig. Ook is van belang dat de bewerkersovereenkomst aansluit bij de bijbehorende dienstverleningsovereenkomst en de verwerkingen die plaatsvinden, zodat maatwerk wenselijk blijft. Naast de verplichte onderwerpen zijn er bovendien ook veel nice-to-have zaken te wensen. De verantwoordelijke zal zoveel mogelijk zijn risico’s willen afdekken en bij de verwerker willen neerleggen. Een al te eenzijdig model zal daarom vaak tot (nog) lange(re) onderhandelingen leiden. Onze inschatting is daarom dat ook al komen er officiële bewerkersovereenkomsten van hogerhand, dat dit dan alleen als minimum-model beschouwd zal moeten worden met keuzemogelijkheden. Of dat ook zal leiden tot een snellere sluiting van de deal valt te bezien. Op zichzelf geeft dat ook niet, omdat de bescherming van persoonsgegevens ook alleen maar gebaat zal zijn bij goed inhoudelijk overleg tussen partijen, zolang zij daarbij tenminste het belang van de betrokkenen niet uit het oog verliezen.

Zie ook Beheer op AG Connect Intelligence

Reactie toevoegen