Vereist uitbesteding altijd het afsluiten van een verwerkersovereenkomst?

De Algemene verordening gegevensbescherming (“AVG”) geldt als er sprake is van de verwerking van persoonsgegevens. De verwerkingsverantwoordelijke kan de verwerking uitbesteden aan een verwerker. Dat is blijkens art. 4(8) van de AVG degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Bij verstrekking van persoonsgegevens aan een verwerker (uitbesteding van een verwerking van persoonsgegevens) moet door de verwerkingsverantwoordelijke een verwerkersovereenkomst worden afgesloten met de verwerker (art. 28 AVG).

Uit de Memorie van Toelichting op de Wet bescherming persoonsgegevens (“Wbp”) (p. 68) blijkt dat het begrip “verstrekken van persoonsgegevens” ruim moet worden opgevat: “het omvat iedere vorm van het bekend maken of ter beschikking stellen van persoonsgegevens, ongeacht de wijze waarop dit gebeurt. Het kan mondeling, schriftelijk of langs elektronische weg gebeuren maar ook door het overhandigen van een magneetband met gegevens. Ook het raadplegen van gegevens, bijvoorbeeld op cd-rom, valt onder verstrekken. Van verstrekken is ook sprake als een persoon over de schouder van een ander meekijkt naar bijvoorbeeld een bestand persoonsgegevens”.

Toch is bij het verstrekken van gegevens aan een verwerker niet altijd een verwerkersovereenkomst noodzakelijk. Dat komt omdat partijen die op het eerste oog als verwerker kwalificeren, dat bij nadere beschouwing soms toch niet zijn. Hierna volgen vier voorbeelden van uitbesteding, waarbij geen verwerkersovereenkomst noodzakelijk is.

1. De ingeschakelde partij is zelf verwerkingsverantwoordelijke (bijv. een logistiek dienstverlener)
De website van de Autoriteit Persoonsgegevens (“AP”) meldt hierover het volgende: Een logistiek dienstverlener is geen verwerker, ook al werkt hij als logistieke dienstverlener voor een opdrachtgever. Hij is zelf verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk is voor zijn dienstverlening. Dit kunnen namen, adressen, postcodes, woonplaatsen en eventueel telefoonnummers en e-mailadressen voor ’track & trace’-bezorging zijn. Dat betekent dat de opdrachtgever dus geen verwerkersovereenkomst hoeft af te sluiten met zijn logistiek dienstverlener.

2. Er is sprake van toevallige verwerking van persoonsgegevens
Als een externe partij persoonsgegevens van relaties van een opdrachtgever ziet of kan zien, maar hij niet als opdracht heeft om die persoonsgegevens te verwerken, is er meestal geen verwerkersovereenkomst nodig. Volgens de Memorie van Toelichting op de Wbp (p. 62) is de omstandigheid dat de gegevensverwerking meer een uitvloeisel van de dienstverlening is dan een primaire activiteit, een indicatie dat er geen sprake is van verwerkerschap. Ook kwalificeert de betreffende externe partij zich niet als verwerkingsverantwoordelijke. Hij bepaalt namelijk niet het doel en de middelen van de verwerking. Hij mag immers helemaal niets met de persoonsgegevens. Denk bijvoorbeeld aan de externe onderhoudsmonteur die een printer of een toegangsbeveiligingssysteem controleert: zijn opdracht is niet om persoonsgegevens te verwerken, maar om een installatie te controleren. Met de werkgever van de onderhoudsmonteur hoeft dan geen verwerkersovereenkomst af te worden gesloten. De opdrachtgever blijft wél verantwoordelijk voor de vertrouwelijkheid van de persoonsgegevens. Vertrouwelijkheid omvat ook de beveiliging ervan. Ook al is er geen verwerkersovereenkomst nodig, het is toch wenselijk de opdrachtnemer en zijn personeel contractueel te verbinden tot geheimhouding.

3. Inschakeling van een ZZP’er
Als de opdrachtgever een ZZP’er inschakelt om onder zijn instructie werkzaamheden te verrichten zal evenmin altijd sprake zijn van een verwerkerssituatie. De AVG-handleiding van het Ministerie van Justitie (p. 34) zegt daarover het volgende: “Er is alleen sprake van verwerkerschap als de verwerker niet aan het rechtstreeks gezag van de verwerkingsverantwoordelijke is onderworpen. Wanneer u ondergeschikt bent aan de verwerkingsverantwoordelijke of er anderszins sprake is van een hiërarchische verhouding (u bent bijvoorbeeld medewerker, gedetacheerd bij de verwerkingsverantwoordelijke of een ZZP’er die werkt onder de instructies van uw opdrachtgever), dan is er geen sprake van verwerkerschap. In Nederland wordt deze situatie aangeduid als intern beheer “. Op grond van art. 29 AVG dient de ZZP’er zich aan de instructies van de opdrachtgever te houden. Die doet er verstandig aan om de ZZP’er een geheimhoudingsplicht op te leggen. Let op: naarmate de ingeschakelde ZZP’er meer autonomie heeft kan zijn rol veranderen in die van verwerkingsverantwoordelijke of verwerker.

4. Er is sprake van een verwerking voor persoonlijke doeleinden
Een verwerkersovereenkomst is ook niet noodzakelijk als sprake is van uitbesteding van een verwerking waarop de AVG niet van toepassing is. Een voorbeeld van een dergelijke uitbesteding is de opdracht aan een uitvaartondernemer, waarbij die in opdracht van een particuliere klant opnames van een uitvaart maakt en de opnames eventueel door middel van live streaming via internet ter beschikking stelt aan de familie. In dat geval is volgens de AP de AVG niet van toepassing omdat de verwerking valt onder de uitzondering van een verwerking voor persoonlijke doeleinden (art. 2 lid 2(c) AVG). Een verwerkersovereenkomst is dan dus niet vereist. Let hierbij wel op of de impact van video-opnames niet omvangrijk wordt. De uitzondering voor “persoonlijke doeleinden” geldt dan namelijk niet meer volgens het Europees Hof. De AP hanteert blijkens haar brief dan ook strikte voorwaarden bij een dergelijk geval om van de uitzondering gebruik te mogen maken.

Conclusie

Het onderscheid tussen een verwerkingsverantwoordelijke en een verwerker is niet altijd scherp. Soms is er bij uitbesteding helemaal geen sprake van een verwerker. Een verwerkersovereenkomst is dan niet nodig. Het is desondanks aan te raden om van tevoren voor een goede vastlegging van de rollen van de betrokken partijen te zorgen.

Heeft u vragen over verwerkersovereenkomsten of andere privacy vragen, neemt u dan gerust vrijblijvend contact op met één van de leden van de sectie Privacy.