Het uitbesteden van verwerking van persoonsgegevens

Geheel uw eigen keuze? 08 april 2021

Het is aan de verwerkingsverantwoordelijke om te bepalen of hij de verwerking van persoonsgegevens intern uitzet, of dat hij daarvoor een externe partij inschakelt.

In een recente uitspraak van de rechtbank Rotterdam wordt bevestigd dat het aan de verwerkingsverantwoordelijke is om te bepalen of hij de verwerking van persoonsgegevens intern uitzet, of dat hij daarvoor een externe partij inschakelt. Zover weinig nieuws. Interessant aan deze uitspraak is wel dat de rechtbank in deze uitspraak impliceert dat óók de inschakeling van een externe partij voor de verwerking, getoetst moet worden aan het noodzakelijkheidsvereiste. Wordt door de rechtbank een ‘dubbele noodzakelijkheidstoets’ in het leven geroepen?

Noodzakelijkheidsvereiste voor verwerking van persoonsgegevens

Een onderneming – in hoedanigheid van verwerkingsverantwoordelijke – moet zich bij het verwerken van persoonsgegevens ervan vergewissen dat de verwerking een welbepaald en gerechtvaardigd doel dient. Bijvoorbeeld, de registratie van gebruikersprofielen is noodzakelijk om te kunnen voldoen aan de overeenkomst tussen de eigenaar van een gezondheidsapp (verwerkingsverantwoordelijke) en de gebruiker (betrokkene). De eigenaar van de gezondheidsapp kan zich voor die verwerking van persoonsgegevens dan, in lijn met de Algemene Verordening Gegevensbescherming (AVG), beroepen op de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’. Kort weergegeven wordt dan voldaan aan het noodzakelijkheidsvereiste voor de verwerking.

Noodzakelijkheidsvereiste voor inschakelen verwerker?

Maar geldt het noodzakelijkheidsvereiste ook voor het inschakelen van een externe partij – de verwerker – voor bijvoorbeeld de automatisering van de gebruikersdatabase? Met andere woorden, ligt het op de weg van de uitbestedende onderneming om ook aan te tonen dat het uitbesteden van de verwerking aan een externe partij ‘noodzakelijk’ is?

Nog daargelaten dat een dergelijke opvatting de contractsvrijheid van marktpartijen beperkt, volgt deze extra toets niet rechtstreeks uit de AVG. De AVG stelt enkel dat “wanneer” de verwerkingsverantwoordelijke een verwerker de verwerkingsactiviteiten toevertrouwt, de verwerkingsverantwoordelijke dan uitsluitend een beroep mag doen op een verwerker die afdoende garanties biedt, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat technische en organisatorische maatregelen beantwoorden aan de vereisten van de AVG ter borging van de bescherming van de rechten van de betrokkene. Dit is echter een veiligheids- en kwaliteitscriterium voor áls verwerkingsactiviteiten worden uitbesteed.

Volgens mij gaat de rechtbank voorbij aan de bepalingen in en de uitgangspunten van de AVG, door het noodzakelijkheidsvereiste ook te betrekken op de motivering waarom de verwerking door de verwerkingsverantwoordelijke aan een externe partij wordt uitbesteed. De enkele noodzakelijke grondslag voor de verwerking door een externe partij is de aanwezigheid – en contractuele naleving door partijen – van een verwerkersovereenkomst. De rechtbank suggereert een extra toets, zonder dat hiervoor een wettelijke grondslag aanwezig is.

Conclusie

Voor zover tussen de uitbestedende onderneming en externe partij een verwerkersovereenkomst is gesloten, en beide partijen in dat kader voldoen aan de vereisten zoals opgenomen in artikel 28 AVG, hoeft niet extra te worden getoetst of de verwerking ook noodzakelijkerwijs door een externe partij moet worden verricht. De dubbele noodzakelijkheidstoets die de rechtbank in bovengenoemde uitspraak in wezen toepast, ook indien “geheel ten overvloede”, is dan ook onterecht.

Overweegt uw onderneming om de verwerking van persoonsgegevens uit te besteden of laat u die verwerking reeds uitbesteden, dan bent u verplicht om de onderlinge afspraken daarover vast te leggen. Wij helpen u graag bij het opstellen of beoordelen van de verwerkingsovereenkomst.