Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | DPIA

Wel of geen Verwerkersovereenkomst?

Check-Privacy is voor haar opdrachtgevers hard doende om verwerkers- overeenkomsten van “Grote Verwerkers” na te gaan op het voldoen aan de eisen van de AVG. Het doel zal duidelijk zijn: grote Verwerkers maken, uit oogpunt van eenduidigheid, graag een standaardovereenkomst op voor al hun klanten. Dan is het dus logisch om voor onze klanten eens te informeren naar die standaard. De reacties daarop zijn verschillend, wat maar weer eens aantoont dat de AVG nog lang niet is uitgekristalliseerd.

Nu komt er, als nationale aanvulling op de Verordening, een zogenaamde Uitvoeringswet Algemene Verordening Gegevensverwerking, die op het ogenblik zelfs al bij de Tweede Kamer ligt. In die wet wordt onder andere ook, in art. 30, nadere regels aangegeven voor het verwerken van “bijzondere categorieën” als in art 9 AVG. Tot de grote Verwerkers die dat doen, behoren ook de grote ziektekostenverzekeraars die bij dat artikel dus groot belang hebben:

“Art. 30 Uitvoeringswet: (verkort)
3. Gelet op artikel 9, tweede lid, onderdeel h, van de Verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing indien de verwerking geschiedt door:
...
b. verzekeraars, voor zover de verwerking noodzakelijk is voor:
...
2°. de uitvoering van de overeenkomst van verzekering.”

Zo te lezen, is dit voor hen dus de (wettelijke) grondslag voor verwerking; er is geen specifieke toestemming of anderszins nodig. So far so good....

Maar welke rol hebben de Verzekeraars dan nu? Zijn het op grond van bovenstaand artikel en de geboden grondslag nu dan ook ineens Verwerkingsverantwoordelijken of nog steeds Verwerkers? Dat wordt hier m.i. helemaal niet duidelijk, maar duidelijk is dat sommige verzekeraars vinden van wel. Sec gezien zal er, art. 28 AVG, nog steeds een verwerkersovereenkomst moeten worden aangegaan, toch?

“Art. 28 AVG:
3. De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.”

Of is de Uitvoeringswet nu opeens het “lidstatelijke recht die de Verwerker ten aanzien van de Verwerkingsverantwoordelijke bindt ”? Is de grondslag van art. 30 voldoende om hen tot Verwerkersverantwoordelijke te zien? Sommige vinden van wel.

Is de verzekeraar daarmee nu opeens als “zuiver op de graat” aan te spreken door een eigenaar van gegevens? (https://www.nrc.nl/nieuws/2018/04/11/zorgverzekeraar-menzis-haalt-facebook-functie-van-website-a1599144). Of moeten we dat alsnog nog zeker stellen via een verwerkersovereenkomst?

Wie het weet mag het zeggen.... (graag!)

Afdrukken