Op dinsdag 12 december 2017 presenteerde Rutger Ketting het online seminar ‘Algemene Verordening Gegevensbescherming (AVG)’. Tijdens dit seminar zijn veel vragen gesteld aan de moderatoren Pim-André van Egmond, Carola van Andel en Maarten van Nijendaal. Zo ontvingen wij onder andere vragen over de aansprakelijkheidsclausules in verwerkersovereenkomsten.

Hieronder zullen wij nader ingaan op de aansprakelijkheid van de verwerkingsverantwoordelijke en de verwerker, en de rol die de verwerkersovereenkomst daarin speelt.

Recht op schadevergoeding

Artikel 82 van de AVG (zie ook artikel 49 Wbp) bepaalt dat de betrokkene recht heeft op schadevergoeding, indien zijn gegevens in strijd met de AVG worden verwerkt. Zowel materiële als immateriële schade komt daarbij voor vergoeding in aanmerking. De verwerkingsverantwoordelijke of de verwerker (de Wbp spreekt van ‘verantwoordelijke’ respectievelijk ‘bewerker’) is enkel niet aansprakelijk, indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

Aansprakelijkheid jegens de betrokkene

Uit artikel 82, tweede lid, AVG (artikel 49, derde lid van de Wbp) volgt dat de verwerkingsverantwoordelijke aansprakelijk is voor de geleden schade van betrokkene. De verwerkingsverantwoordelijke is volgens artikel 82 AVG ook aansprakelijk, indien de gegevens feitelijk verwerkt worden door de verwerker. De verwerking geschiedt immers onder verantwoordelijkheid van de verwerkingsverantwoordelijke.

 

De verwerker zelf is echter ook aansprakelijk op grond van artikel 82 AVG. Die aansprakelijkheid strekt zich enkel uit tot ‘de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of indien buiten of in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld’.

 

Artikel 82 AVG bevat daarnaast een belangrijke wijziging voor de betrokkene. Indien er namelijk meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, kan de betrokkene iedere verwerkingsverantwoordelijke of verwerker voor de volledige schade aanspreken. De verwerkingsverantwoordelijke en verwerker zijn onder de AVG dus hoofdelijk aansprakelijk. Het vijfde lid van artikel 82 AVG bepaalt voorts dat de aangesproken verwerkingsverantwoordelijke of verwerker een regresrecht heeft op de andere aansprakelijke verwerkingsverantwoordelijken of verwerkers.

De verwerkersovereenkomst

In een verwerkersovereenkomst regelen de verwerkingsverantwoordelijke en de verwerker onder andere op welke wijze de verwerker persoonsgegevens dient te verwerken (zie artikel 28, derde lid, AVG voor alle zaken die in een verwerkersovereenkomst moeten worden geregeld). Dergelijke overeenkomsten bevatten vaak ook bepalingen over de verdeling van de aansprakelijkheid in geval een betrokkene schade lijdt.

 

De Informatiebeveiligingsdienst voor gemeenten (een gezamenlijk initiatief van de VNG en het Kwaliteitsinstituut Nederlandse Gemeenten) heeft voor gemeenten een modelovereenkomst opgesteld voor gemeenten. Artikel 10 van deze modelovereenkomst bevat een bepaling over de verdeling van de aansprakelijkheid. Deze bepaling van de modelovereenkomst is in grote mate een herhaling van het bepaalde in artikel 82 van de AVG. Daarnaast bepaalt artikel 10 dat indien de verwerkingsverantwoordelijke een bestuurlijke boete van de AP ontvangt voor een niet door de verwerker gemeld datalek, de verwerkingsverantwoordelijke deze bestuurlijke boete door middel van een contractuele boete doorberekent aan de verwerker.

Tijdens het online seminar werd onder meer gevraagd in hoeverre partijen van (artikel 10 in) de modelovereenkomst kunnen afwijken. Omdat de AVG (net als de Wbp) van dwingend recht is, kunnen partijen slechts aanvullende afspraken maken die niet in strijd zijn met de AVG. Omdat de verdeling van de aansprakelijkheid tussen verantwoordelijke en verwerker uit artikel 82 AVG volgt, lijkt er weinig ruimte te bestaan om hierover aanvullende afspraken te maken.

 

De hierboven genoemde doorberekening van bestuurlijke boetes van de AP wegens het niet melden van een datalek is volgens ons een goed voorbeeld van een aanvullende afspraak die wel toelaatbaar is. Een bestuurlijke boete is namelijk schade die de verwerkingsverantwoordelijke lijdt als gevolg van het handelen (of nalaten) van de verwerker. Aangezien artikel 82 AVG enkel ziet op de aansprakelijkheidsverdeling tussen verwerkingsverantwoordelijke en verwerker in relatie tot schade van de betrokkene, is het mogelijk om in de verwerkersovereenkomst afspraken te maken over schade die de verwerkingsverantwoordelijke lijdt als gevolg van het handelen van de verwerker.

Meer weten over privacy?

Wilt u meer weten over de AVG, of bent u geïnteresseerd in de terugkijklink naar ons online seminar, neem dan gerust contact op met Carola van Andel, E: carola.vanandel@nysingh.nl | T: 026 357 57 34 | M: 06 13 00 45 93 of Maarten van Nijendaal, E: maarten.vannijendaal@nysingh.nl | T: 026 357 56 29 | M: 06 22 17 66 54.