Wat is een Vrijwaringsovereenkomst?

Wat is de relatie tussen een vrijwaringsovereenkomst en de privacywetgeving?

Wanneer een organisatie op eigen initiatief persoonsgegevens verwerkt, moet het zich houden aan de privacywetgeving. Dat geldt ook wanneer een natuurlijk persoon dat doet. Deze rechtspersoon of natuurlijke persoon zijn verantwoordelijk voor een verwerking volgens de spelregels van de privacywetgeving.

In sommige gevallen besteedt de verantwoordelijke een deel van of de gehele verwerking uit aan een derde partij. Zo’n partij noemen we een ‘externe verwerker’. Dat kan bijvoorbeeld een externe ICT-beheerder, salarisadministratie, administratiekantoor zijn, of een cloudprovider die namens de verantwoordelijke persoonsgegevens verwerkt, rapporteert, vernietigt of bewaart. Het is voor zo’n externe partij belangrijk dat de de verantwoordelijke de persoonsgegevens volgens de geldende privacywetgeving beschikbaar stelt. Dat wil zeggen dat de persoonsgevoelige informatie rechtmatig is verkregen, de bewaartermijn is gerespecteerd en dat de verwerking uiteraard altijd met instemming van de betrokkene plaatsvindt.

Ook in die gevallen blijft de verantwoordelijke, ofwel de initiatiefnemer van de verwerking, uiteindelijk eindverantwoordelijk. Heeft de cloudprovider of het incassobureau bijvoorbeeld een datalek, dan kan de verantwoordelijke zich niet verschuilen achter de ‘schuld van de ander’. Op die manier voorkomt de wetgevende macht dat partijen zich achter elkaar verschuilen.

Toch is de externe verwerker bij een incident niet geheel zeker dat hij of zij wordt vrijgesteld van enige aansprakelijkheid. De verwerker is dan wel niet ‘voor de wet’ verantwoordelijk voor het datalek, maar kan bijvoorbeeld wel mede aansprakelijk gesteld worden door fouten die door de verantwoordelijke zijn gemaakt. Een vrijwaringsovereenkomst voorkomt dat het op welke manier dan ook ‘medeschuldig’ of aansprakelijk gesteld kan worden voor verwerkingen zoals opgelegd of uitgevoerd door de verantwoordelijke partij.

Is een vrijwaringsovereenkomst altijd verplicht?

Nee, een vrijwaringsovereenkomst is in geen enkel geval verplicht.

In veel gevallen is het zelfs niet van toepassing. Wanneer je als organisatie niet samenwerkt met derde partijen voor de verwerking van persoonsgegevens, dan valt er wat betreft de verantwoordelijkheid voor de privacy niets te vrijwaren. Je kunt je eigen organisatie nooit vrijwaren van verantwoordelijkheid voor een correcte verwerking van persoonsgegevens. Een vrijwaringsovereenkomst kun je namelijk niet afsluiten met de betrokkenen. Het recht op privacy is niet onderhandelbaar.

Welke vorm heeft een vrijwaringsovereenkomst doorgaans?

Een vrijwaringsovereenkomst zien we in de praktijk vooral terug als een clausule in de verwerkersovereenkomst.

Wat is het verschil tussen een indemnification agreement en een vrijwaringsovereenkomst?

Niets. Indemnification agreement is de letterlijke Engelse vertaling van een vrijwaringsovereenkomst.

Is het laten opstellen van een vrijwaringsovereenkomst verstandig?

Voor externe verwerkers is een vrijwaringsovereenkomst in sommige gevallen zeer verstandig. Wanneer de verantwoordelijke partij zich duidelijk niet houdt aan de spelregels van de privacywetgeving, dan kan de verwerker zich zonder vrijwaringsovereenkomst zich flink in de vingers snijden.

De verantwoordelijke is echter niet verplicht om akkoord te gaan met de vrijwaringsovereenkomst. In de praktijk kan dat betekenen dat de verantwoordelijke partij bijvoorbeeld naar een concurrent gaat die deze eis niet op tafel legt.

Ontslaat een vrijwaringsovereenkomst de verwerker van goede zorg over persoonsgegevens?

Nee, absoluut niet. Een vrijwaringsovereenkomst is geen vrijbrief om van de verwerking een potje te maken. Kan de verantwoordelijke bewijzen dat bijvoorbeeld een datalek geheel te wijten is aan de verwerker, dan kan deze alsnog hiervoor aansprakelijk worden gesteld.

Alle berichten