1. GCB
  2. Edities
  3. 2022-2023
  4. GCBlog 3

GCBlog 3

GCBlog 3 

17 mei 2023 | Tom Klatter  | Yspeert Advocaten  N.V.

Tom Klatter is advocaat contractenrecht, privacyrecht en ICT-recht bij Yspeert advocaten N.V. (gevestigd in Groningen, Drachten en Emmen).

In deze blog zal hij ingaan op de contracten die van zijn belang in het privacyrecht. Hiermee krijg je een voorproefje van het thema van de derde editie van het Groninger Civilistenblad, namelijk ‘contractenrecht’.

PLF-20220927-10359.jpg

Contracteren in het privacyrecht


Sinds 2018 is de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG stelt regels over het verwerken van ‘persoonsgegevens’. Dit zijn alle gegevens die (indirect) herleidbaar zijn naar individuele personen. Vrijwel alle organisaties verwerken daarmee persoonsgegevens en zijn verplicht om zich te houden aan de AVG. Denk hierbij aan bedrijven die klantgegevens (zoals NAW-gegevens en een e-mailadres) verwerken, maar ooInterne linkk zorgaanbieders die gegevens over onze gezondheid vastleggen in een dossier. Een van de verplichtingen uit de AVG is dat deze organisaties afspraken met elkaar dienen te maken over de gegevens die zij verstrekken of uitwisselen. Afhankelijk van de rollen die de organisaties hebben, zal er in sommige gevallen (1) een verwerkersovereenkomst; of (2) een gezamenlijke verantwoordelijken overeenkomst gesloten moeten worden.


(1) De verwerkersovereenkomst

De verwerkersovereenkomst dient gesloten te worden als een ‘verwerker’ persoonsgegevens verwerkt in opdracht van een ‘verwerkingsverantwoordelijke’. De verwerkingsverantwoordelijke is degene die zeggenschap heeft over de gegevensverwerking en is verantwoordelijk voor de naleving van de beginselen van de AVG. De verwerker is degene die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een bekend voorbeeld is de ICT-leverancier die in opdracht van een bedrijf persoonsgegevens opslaat. Het bedrijf (verwerkingsverantwoordelijke) is dan verplicht om met de ICT-leverancier (verwerker) een verwerkersovereenkomst te sluiten. In de verwerkersovereenkomst worden onder meer afspraken gemaakt over de beveiliging en de bewaartermijn van de persoonsgegevens.


(2) De gezamenlijke verantwoordelijken overeenkomst

De gezamenlijke verantwoordelijken overeenkomst dient gesloten te worden wanneer twee partijen gezamenlijk de doelen van en de middelen voor de gegevensverwerking vaststellen. Hierbij kan gedacht worden aan verschillende onderzoeksinstellingen die gezamenlijk een onderzoeksproject gaan starten en hierbij gebruik zullen maken van één digitaal systeem. Deze partijen sluiten dan een dergelijke overeenkomst, waarin bijvoorbeeld afspraken worden gemaakt over de uitoefening van de rechten die burgers hebben op grond van de AVG (zoals het recht op inzage).


Er kan sprake zijn van een situatie dat organisaties een eigen verantwoordelijkheid hebben om te voldoen aan de AVG (wanneer zij niet gezamenlijk de doelen bepalen). In dat geval zijn zij niet verplicht om een gezamenlijke verantwoordelijken overeenkomst te sluiten.


Het is dus erg belangrijk om als organisatie je rol te bepalen op grond van de AVG, zodat je kan nagaan of je een overeenkomst moet sluiten en welke type overeenkomst dit kan zijn.


Wil je meer informatie willen over de contracten die worden gebruikt in het privacyrecht of ben je benieuwd naar mijn werk als privacy/ICT advocaat? Stuur gerust een mail naar t.klatter@yspeert.nl.