De wisselwerking tussen hoofdovereenkomst en verwerkersovereenkomst: enkele uitdagingen

Auteur(s): Bron:
  • OpenRecht, 7 januari 2022, JCDI:ALT612:1

Samenvatting

In deze OpenNoot wordt stilgestaan bij enkele uitdagingen die kunnen spelen bij het opstellen en uitonderhandelen van de (hoofd)overeenkomst voor de levering van producten en/of diensten enerzijds, en de bijbehorende verwerkersovereenkomst anderzijds. Met name als er vanuit een organisatie verschillende personen betrokken zijn, of als er voor de overeenkomsten templates van verschillende partijen worden gebruikt, is het goed opletten geblazen om onduidelijkheid te voorkomen.

1 Inleiding

Sinds de inwerkingtreding van AVG[1] heeft de verwerking van persoonsgegevens binnen veel organisaties meer aandacht gekregen, met name door de hoge boetes die met de AVG zijn geïntroduceerd.[2] Voor compliance met de AVG is vaak een aparte functie gecreëerd, ook in gevallen dat zo’n functie strikt genomen niet verplicht is op grond van de AVG.[3] Het komt dan regelmatig voor dat de persoon die deze nieuwe functie vervult, zich hoofdzakelijk bezig houdt met de bescherming van persoonsgegevens en niet met andere (juridische) zaken. Hoewel het valt toe te juichen dat organisaties de verwerking van persoonsgegevens (nog) serieuzer zijn gaan nemen, heeft deze ontwikkeling ook een keerzijde. Want waar voorheen vaak dezelfde persoon of personen betrokken waren bij het opstellen en uitonderhandelen van zowel de (hoofd)overeenkomst voor de levering van producten en/of diensten als de verwerkersovereenkomst, komt het nu af en toe voor dat het opstellen en uitonderhandelen van deze overeenkomsten parallel aan elkaar gebeurt door verschillende personen. Dit is op zichzelf geen probleem. In tegendeel: een specialist aan tafel heeft absoluut voordelen. Echter, betrokkenheid van verschillende personen bij samenhangende overeenkomsten levert wel het risico op dat deels overlappende maar tegenstrijdige regelingen worden gecreëerd in beide overeenkomsten, als er onderling niet goed of niet tijdig wordt gecommuniceerd. Of dat er in het kader van de ene overeenkomst iets wordt weggegeven tijdens de onderhandelingen, bijvoorbeeld op het gebied van aansprakelijkheid, wat vervolgens onbedoeld doorwerkt in de andere overeenkomst. De opkomst van de FG of privacy officer aan de onderhandelingstafel brengt kortom diverse uitdagingen met zich mee.[4] In deze noot sta ik stil bij enkele uitdagingen, en besluit ik met een aantal praktische tips.

2 Overlap

De verwerkersovereenkomst is bedoeld om te zorgen dat partijen aan de wettelijke vereisten uit de AVG (en de UAVG[5]) voldoen als de ene partij, vaak de leverancier, als verwerker in opdracht van de andere partij, vaak de opdrachtgever of klant, persoonsgegevens verwerkt in het kader van de geleverde dienstverlening. De minimale inhoud van de verwerkersovereenkomst wordt voorgeschreven door artikel 28 AVG. Onderwerpen die verplicht aan bod moeten komen betreffen onder meer de vertrouwelijke behandeling van persoonsgegevens, medewerking aan melding van datalekken, beveiligingsmaatregelen, en medewerking aan audits. Daarnaast staat het partijen vrij om aanvullende onderwerpen te regelen in de verwerkersovereenkomst, die strikt genomen uit het oogpunt van compliance niet geregeld hoeven te worden. Het komt bijvoorbeeld regelmatig voor dat partijen nog een regeling opnemen om hun specifieke risico’s met betrekking tot de verwerking van persoonsgegevens te verdelen. Denk aan een specifieke aansprakelijkheidsregeling en vrijwaringen.[6]

Het zal geen verrassing zijn dat veel van de hiervoor genoemde onderwerpen ook geregeld zijn in de hoofdovereenkomst, uiteraard dan met een generiek toepassingsbereik. Er is dus sprake van deels overlappende regeling(en). Op zich hoeft overlap geen probleem te zijn, als de regelingen zo zijn opgesteld dat zij elkaar niet ‘bijten’. Maar als de regelingen elkaar wel tegenspreken, dan kan dit tot ongewenste discussies leiden.

Op het eerste gezicht lijkt het probleem van overlappende maar tegenstijdige regelingen in de verschillende overeenkomsten eenvoudig op te lossen door het opnemen van een rangorderegeling. En goede rangorderegeling biedt immers duidelijkheid welk contractsdocument in geval van tegenstrijdigheden prevaleert. Doorgaans wordt dan bepaald dat de regeling in de hoofdovereenkomst prevaleert boven een tegenstrijdige regeling in een bijlage, waaronder een regeling in de bijlage verwerkersovereenkomst. Steeds vaker zie ik overigens dat partijen ervoor kiezen om de regeling in de verwerkersovereenkomst vanwege het compliance karakter ervan voorrang te geven op de regeling in de hoofdovereenkomst (of op een overlappende regeling in een (andere) bijlage bij de hoofdovereenkomst, zoals een service level agreement).

Toch kan een rangordebepaling niet alle discussie wegnemen, ongeacht de gekozen rangorde. Dit laat zich het gemakkelijkst illustreren aan de hand van een voorbeeld. Stel dat er op grond van de hoofdovereenkomst en verwerkersovereenkomst verschillende meldtermijnen en informatieverplichtingen gelden voor beveiligingsincidenten, waarbij het bereik van de regeling uit de verwerkersovereenkomst beperkt is tot “inbreuken in verband met persoonsgegevens” in de zin van de AVG. Dient er dan al te worden gemeld als nog niet zeker is of bij het beveiligingsincident persoonsgegevens betrokken zijn? En zo ja, welke termijn moet worden aangehouden? Een ander voorbeeld is de auditregeling. Ook bij het uitvoeren van een audit kunnen er - in ieder geval in theorie - problemen ontstaan, als er in de verschillende overeenkomsten afwijkende auditrechten- en formaliteiten gelden, en het bereik van de uitgevoerde audit de verwerking van persoonsgegevens omvat, maar hiertoe niet beperkt is.  

Het ligt voor de hand dat het welbekende Haviltex-criterium[7] bij dergelijke discussies dan de oplossing zal moeten bieden. Ook bij afwezigheid van een rangorderegeling dient er overigens op grond van vaste rechtspraak door uitleg te worden vastgesteld welke van die bedingen prevaleert.[8]

3 Compromissen

Doorgaans zijn de (aansprakelijkheids)bepalingen in de oorspronkelijke hoofd- en verwerkersovereenkomst wel redelijk op elkaar afgestemd, aangenomen dat het template van dezelfde partij voor beide overeenkomsten wordt gebruikt. Uitdagingen ontstaan dan als de bepalingen niet ongewijzigd worden geaccepteerd of als de wederpartij eist dat zijn standaard verwerkersovereenkomst wordt gebruikt. Dit speelt met name als het (contract)belang groot genoeg is om er een jurist bij te betrekken. Voor verwerkersovereenkomsten geldt nog wel eens een uitzondering, als de verwerkersovereenkomst alleen de verplichte onderwerpen regelt die op grond van de AVG geregeld moeten worden, en dit bovendien doet op een redelijke, marktconforme wijze.[9]

Bij aanpassing van de regelingen rondom aansprakelijkheid en vrijwaringen in de hoofd- en verwerkersovereenkomst in het kader van de onderhandeling is het dan bijvoorbeeld opletten geblazen, als beide documenten los van elkaar door verschillende personen worden uitonderhandeld.

Denk bijvoorbeeld aan een voor de opdrachtgever gunstige aansprakelijkheidsbeperking die is opgenomen in de verwerkersovereenkomst, die in het kader van de onderhandelingen over de hoofdovereenkomst als compromis onder de ‘normale’, veel lagere aansprakelijkheidsbeperking in de hoofdovereenkomst wordt gebracht. Daarna moet de verwerkersovereenkomst dan “nog even”  worden aangepast op die aansprakelijkheidsbeperking in de hoofdovereenkomst. De onderhandelaar van die verwerkersovereenkomst had wellicht al een andere bepalingen uit de verwerkersovereenkomst weggegeven op voorwaarde dat die gunstige aansprakelijkheidsbepaling zou worden geaccepteerd, en komt dan voor een voldongen feit te staan, of moet terug naar de onderhandelingstafel.  

Ook bestaat het risico dat het binnenhalen van een voor de opdrachtgever gunstige aansprakelijkheidsbepaling in de verwerkersovereenkomst langs de achterdeur van de hoofdovereenkomst wordt uitgekleed. Het begrip “indirecte schade”, dat in de Nederlandse wetgeving niet is gedefinieerd,[10] kan bijvoorbeeld in de hoofdovereenkomst zo ruim worden gedefinieerd dat aansprakelijkheid van de leverancier feitelijk is uitgesloten voor de belangrijkste schadeposten die in het kader van de verwerkersovereenkomst aan de orde kunnen zijn.[11] Nog steeds proberen veel leveranciers aansprakelijkheid voor verlies of beschadiging van data als indirecte schade uit te sluiten. Zie in dit kader ook art. 16.4 van de (leveranciersvriendelijke) branchevoorwaarden van NLdigital: “Eveneens is uitgesloten de aansprakelijkheid van leverancier verband houdende met verminking, vernietiging of verlies van gegevens of documenten.”[12]

4 Wat is wijsheid?

Een uitdaging op zijn tijd is natuurlijk geen probleem. Maar het is wel zaak dat de professionaliseringsslag die op het gebied van de verwerking van persoonsgegevens is gemaakt, uiteindelijk over de hele linie voordelen oplevert voor een organisatie. Daarom ter afsluiting een aantal praktische tips.

Allereerst: zorg intern dat bij updates van de overeenkomsten, de documenten goed op elkaar afgestemd blijven. Denk aan de hiervoor genoemde onderwerpen die vaak in zowel de hoofdovereenkomst als de verwerkersovereenkomst aan bod komen, zoals de auditbepaling, de beveiligingseisen en de regels rondom incidentmeldingen. Het voorgaande geldt overigens ook voor algemene voorwaarden, als deze van toepassing worden verklaard op de hoofdovereenkomst.

Ten tweede: mochten partijen er tijdens de onderhandelingen voor kiezen om met de template hoofdovereenkomst van de ene partij, en de template verwerkersovereenkomst van de andere partij te werken, wees dan extra kritisch op overlappende regelingen en tegenstrijdigheden om onduidelijkheid te voorkomen.  

Daarnaast: ga na of het wenselijk is om bepaalde zaken al dan niet dubbel in de overeenkomsten te regelen, en neem in elk geval een duidelijke en gedetailleerde rangordebepaling op. Wat mij betreft kan de compliance functie van de verwerkersovereenkomst dan een argument zijn om de verwerkersovereenkomst te laten prevaleren boven de hoofdovereenkomst. Uiteraard wordt dit argument minder sterk, als de verwerkersovereenkomst aanvullende zaken regelt die op grond van de AVG niet in de verwerkersovereenkomst geregeld hoeven worden.

Tenslotte: bedenk of het gunstig is om de hoofdovereenkomst en verwerkersovereenkomst gelijktijdig uit te onderhandelen, ook als de onderhandelingen (primair) door verschillende personen of teams worden gevoerd. Dit geldt dan met name voor de onderwerpen waarop de overeenkomsten overlappen, zoals bijvoorbeeld het geval kan zijn bij aansprakelijkheid. Als gelijktijdig onderhandelen niet mogelijk is, maar wel wenselijk, dan is een goede, alternatieve optie om dergelijke onderwerpen te parkeren en dan op een later moment voor beide overeenkomsten gelijktijdig te regelen.

5 Eindnoten

[1]Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[2] Zie art. 83 AVG, en voor Nederland ook de Beleidsregels van de Autoriteit Persoonsgegevens van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2019).

[3] Art. 37 AVG bepaalt wanneer er een verplichte functionaris gegevensbescherming, kortweg FG, moet worden aangesteld. Een FG is bijvoorbeeld verplicht als de kernactiviteit van een organisatie het op grote schaal verwerken van speciale categorieën van persoonsgegevens (onder andere gezondheidsgegevens) is. In gevallen dat een FG niet verplicht is, kan een organisatie ervoor kiezen om vrijwillig een FG aan te stellen (voor wie dan dezelfde wettelijke eisen uit de AVG gelden). Ook kan de organisatie vrijwillig een privacy of compliance officer aanstellen, aan wie niet de wettelijke eisen van de FG worden gesteld. Voor meer informatie wordt verwezen naar de ‘Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO)’ van de WP29, voorloper van de EDPB, van 13 december 2016, laatstelijk herzien en goedgekeurd op 5 april 2017, zie hier.

[4] Vergelijkbare uitdagingen spelen overigens als er templates van verschillende partijen gebruikt worden voor de hoofdovereenkomst en de verwerkersovereenkomst.

[5] Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming).

[6] In diverse veelgebruikte model verwerkersovereenkomsten wordt dit overigens niet gedaan. Zie bijvoorbeeld de Model Verwerkersovereenkomst ARBIT-2018 van de Rijksoverheid; en de Standaard Verwerkersovereenkomst van branchevereniging NL Digital.

[7] HR 13 maart 1981, ECLI:NL:HR:1981:AG4158, NJ 1981, 635.

[8] HR 24 april 2015, ECLI:NL:HR:2015:1125 (ForFarmers B.V./X).

[9] Het enkel opsommen van de eisen van artikel 28 AVG, zonder praktische uitwerking, wordt in ieder geval door de AP als onvoldoende beschouwd, blijkens haar onderzoeksrapport “Werkende verwerkersovereenkomsten. Onderzoek naar de toepassing in de private sector” van september 2019, zie hier.

[12]  Inkijkexemplaar van de NLdigital Voorwaarden.

Titel, auteur en bron

Titel

De wisselwerking tussen hoofdovereenkomst en verwerkersovereenkomst: enkele uitdagingen

Auteur(s)

Tineke van de Bunt

Bron

OpenRecht, 7 januari 2022, JCDI:ALT612:1

Permanente link

Huidige versie

https://www.openrecht.nl?jcdi=JCDI:ALT612:1