Het nieuwe modelcontract voor de doorgifte van persoonsgegevens buiten Europa is flexibeler dan het oude. Zo is er nu ook (éindelijk) een versie die toeziet op de relatie tussen (sub)verwerker en (sub)verwerker. Maar wat is een subverwerker nu precies? En wat zijn de regels voor het inzetten van een subverwerker?

Wat is een subverwerker?

Is uw organisatie verwerker van persoonsgegevens volgens de AVG?

Dan is het heel goed mogelijk dat u samenwerkt met andere partijen. Voert een van deze partijen verwerkingshandelingen uit namens uw klant (oftewel de verwerkingsverantwoordelijke)? Dan noemen we die organisatie een subverwerker.

Ter illustratie: maakt uw organisatie gebruik van een hostingpartij? Een hostingpartij (de verwerker) gebruikt vaak leveranciers die de servers aanbieden. De leverancier van de servers noemen we dan een subverwerker.

Toestemming vragen voor het inschakelen van subverwerkers

Als verwerker mag u alleen persoonsgegevens uitbesteden aan subverwerkers als u daarvoor schriftelijke toestemming van uw klant (verwerkingsverantwoordelijke) heeft. Dit volgt uit artikel 28 lid 2 AVG.

Wilt u een subverwerker inschakelen? Dan kunt u op twee manieren toestemming vragen:

• door specifieke voorafgaande toestemming; of

• door algemene voorafgaande toestemming met het recht van bezwaar.

Het verlenen van algemene toestemming is het meest praktisch. Dan hoeft een verwerker niet vooraf aan alle verwerkingsverantwoordelijken specifieke schriftelijke toestemming te vragen voor het inzetten van een nieuwe subverwerker. Dat is immers een tijdrovende administratieve handeling.

Vandaar dat in verwerkersovereenkomsten vaak een bepaling is opgenomen waarin algemene toestemming wordt verleend voor het uitbesteden aan subverwerkers. Bijvoorbeeld de bepaling: “verwerkingsverantwoordelijke verleent verwerker bij voorbaat toestemming om subverwerkers in te schakelen”.

Bij algemene voorafgaande toestemming komt echter ook het recht van bezwaar kijken. De verwerker moet informatie verstrekken over onder meer de toevoeging of vervanging van subverwerkers aan de verwerkingsverantwoordelijke.

Vervolgens kan de verantwoordelijke hier bezwaar tegen maken.

Het is goed om hierover in de verwerkersovereenkomst al afspraken te maken. Zo kan het zinvol zijn een termijn overeen te komen waarbinnen iemand bezwaar mag maken tegen de inschakeling van een nieuwe subverwerker. Daarnaast is het verstandig criteria te benoemen waarop een subverwerker (eventueel) mag worden afgewezen.

Afspraken tussen verwerker en subverwerker

Volgens de AVG moet een subverwerker minimaal hetzelfde niveau van gegevensbescherming bieden als de verwerker. Hierover maken verwerker en subverwerker samen bindende afspraken. Bijvoorbeeld in de vorm van een (sub)verwerkersovereenkomst.

Komt een subverwerker zijn verplichtingen niet na?

Dan blijft de verwerker op grond van de AVG ten opzichte van zijn klant/de verwerkingsverantwoordelijke aansprakelijk voor het nakomen van die verplichtingen.

Erg belangrijk dus dat een verwerker zijn subverwerker(s) zorgvuldig selecteert. De verwerker draagt namelijk de verantwoordelijkheid voor het correct naleven van de AVG.

Is een subverwerker gevestigd buiten de EU en biedt dat land niet hetzelfde beschermingsniveau als de AVG vereist?

Dan is grondig onderzoek naar de subverwerker én de wet- en regelgeving in het betreffende land een vereiste. De nieuwe Standard Contractual Clauses en Data Transfer Impact Assessment bieden hiervoor houvast.

Zeker weten dat u niks mist?

Abonneert u zich dan nu op onze maandelijkse nieuwsbrief. U ontvangt al onze blogs dan automatisch 1 keer per maand in uw mailbox.