De verwerkersovereenkomst is voor organisaties vaak meer een noodzakelijke administratieve drempel, dan een moment om eens goed na te denken over een veilige omgang met persoonsgegevens. Zeker wanneer de verwerking van persoonsgegevens grote overlap kent voor elke klant of leverancier, is het noodzakelijk om een goede standaardversie daarvan te hanteren. Veel brancheorganisaties bieden daarom een template aan, die hun leden kunnen gebruiken. In deze editie van de serie “Standaard verwerkersovereenkomsten”, de verwerkersovereenkomsten van de Rijksoverheid. Het gaat in deze blog over twee varianten, de verwerkersovereenkomst van de Algemene rijksvoorwaarden bij IT-overeenkomsten (ARBIT) en van de Algemene rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van diensten (ARVODI).
Voor wie is deze standaard?
De standaard is ontwikkeld door de Rijksoverheid en is bedoeld voor, niet geheel verassend, Rijksoverheidsorganisaties. De verwerkersovereenkomst van de ARBIT kan gebruikt worden als het gaat om IT-zaken en de verwerkersovereenkomst van de ARVODI kan gebruikt worden bij algemene zaken. Het gebruik van deze modelovereenkomsten wordt Rijksoverheidsorganisaties ten zeerste aangeraden, maar is niet verplicht.
De beide verwerkersovereenkomsten kunnen niet gebruikt worden als beide partijen onderdeel van dezelfde rechtspersoon zijn. In die gevallen dient gebruik gemaakt te worden van de model Verwerkersafspraken Rijksdienst. Voor de ARBIT geldt verder nog dat deze voorwaarden, inclusief verwerkersovereenkomst, niet geschikt zijn voor grote en bijzondere IT-projecten. Er is echter niet aangegeven wanneer iets een groot en/of bijzonder IT-project is.
Wat kenmerkt deze verwerkersovereenkomst?
De verwerkersovereenkomsten van de ARBIT en de ARVODI zijn nagenoeg gelijk. Er worden andere namen voor de partijen gebruikt en ze verwijzen naar hun eigen voorwaarden. De ARVODI spreekt van een opdrachtgever en een opdrachtnemer, terwijl de ARBIT spreekt van een opdrachtgever en een wederpartij. Inhoudelijk zijn ze verder gelijk.
De modelverwerkersovereenkomst kan enkel gebruikt worden als voor de overeenkomst ook de bijbehorende modelvoorwaarden zijn gebruikt. De verwerkersovereenkomsten zijn namelijk afgesteld op de voorwaarden waar ze bij horen. Zo wordt in de ARBIT- en ARVODI-verwerkersovereenkomst naar de bijbehorende voorwaarden verwezen voor de invulling van begrippen, afspraken omtrent beveiliging van de verwerking, het omgaan met geheimhouding en het aanstellen van subverwerkers.
Geen bijzaak: de bijlagen
Om te zorgen dat de hoofdtekst van de verwerkersovereenkomst zoveel mogelijk intact kan blijven, wordt in standaardversies vaak gewerkt met bijlagen. Zo ook in dit geval. In de bijlagen dienen alle bijzonderheden van de verwerking te worden ingevuld, zoals de te verwerken persoonsgegevens, de beveiligingsmaatregelen en afspraken over het melden van datalekken. Deze bijlagen zijn verplicht als gebruik wordt gemaakt van de verwerkersovereenkomst.
Het is voor de verwerker van groot belang om scherp te zijn op de juistheid van de bijlagen. Doorgaans weet de verwerker het best welke gegevens in haar systeem worden opgenomen. In de bijlage wordt ook verwezen naar het verwerkingsregister van de verwerker als indicatie van de in te vullen gegevens. Een bijzonderheid aan de ARBIT- en ARVODI-verwerkersovereenkomst is dat er een bijlage is voor afspraken over datalekken. Bij andere standaard verwerkersovereenkomsten, zoals de BoZ- en de VNG-standaard, is dat niet het geval.
Overige bijzonderheden en tips
Er is, net als bij de VNG-standaard, geen speciale bijlage om eventuele afwijkingen van de standaard in op te nemen, zoals bij de BoZ-standaard wel het geval is. Uit de toelichting blijkt dat aangeraden wordt om niet van de standaard tekst af te wijken. De artikelen 10 en 11 zijn hierop een uitzondering. Deze artikelen hebben enkele optionele bepalingen en die moeten wel aangepast/ingevuld worden.
Tot slot is het van belang om nog eens te benadrukken dat deze verwerkersovereenkomsten onderdeel zijn van de ARBIT en ARVODI: ze kunnen niet los daarvan gebruikt worden. De verwerkersovereenkomsten zien er dan ook kaal uit ten opzichte van andere verwerkersovereenkomsten. Dit brengt met zich mee dat eventuele wijzigingen in een van beide documenten kan leiden tot conflicterende of verkeerd verwijzende bepalingen. Waakzaamheid is hierbij geboden.
Deze blog is de derde editie van de serie “Standaard verwerkersovereenkomsten”. Hierin behandelen wij een gangbare standaardversie van de verplichte verwerkersovereenkomst. Eerder werden de BoZ-verwerkersovereenkomst en de verwerkersovereenkomst van de VNG behandeld. In de edities hierna komen de verwerkersovereenkomsten van het Privacyconvenant 3.0 en van NLdigital aan bod.
