Het niet hebben van een verwerkersovereenkomst?

Het niet hebben van een verwerkersovereenkomst?

Wat zijn de gevolgen van het niet hebben van een verwerkersovereenkomst? Dat was de vraag die een klant aan ons stelde. Moe van alle onderhandelingen, bereid om het bijltje er bij neer te gooien. In dat licht moet de vraag gezien worden.

Onder de oude Wet bescherming persoonsgegevens was het niet hebben van een verwerkersovereenkomst geen feit dat onder die wet beboet kon worden. Nog even afgezien van een last onder dwangsom, een bestuursrechtelijke figuur. Onder de Algemene Verordening Gegevensbescherming is dat anders. Onder de verordening kan het niet hebben van een verwerkersovereenkomst leiden tot een boete.

Maar wat als je er nu echt niet uitkomt met de wederpartij. Mijn ervaring is dat het dan bijna altijd over de aansprakelijkheid gaat. De leverancier wil zijn aansprakelijkheid beperken, en de afnemer ziet dat helemaal niet zitten. Terwijl vaak de aansprakelijkheid al beperkt is onder de hoofdovereenkomst. En die beperking van de aansprakelijkheid was eerder door de afnemer akkoord bevonden. Daar zit de crux. Want een leverancier heeft dan niet zo heel veel zin meer in het sluiten van een verwerkersovereenkomst, want -zo denkt hij- ik ben beter af zonder. Want dan kan ik als leverancier altijd terugvallen op de beperking van de aansprakelijkheid in de hoofdovereenkomst. Dat is op zich juist, maar dan wordt vergeten dat de leverancier -de verwerker- zelf een boete kan krijgen van de autoriteit persoonsgegevens.

Probeer er derhalve toch echt te komen.
Lukt het niet gelijk? Maak dan een aantekening in het verwerkingsregister, met de redenen waarom het (nog) niet gelukt is.
Werk in de tussentijd als leverancier natuurlijk wel conform de Algemene Verordening Gegevensbescherming en conform de tekst van de verwerkersovereenkomst waar je het gezamenlijk wel over eens was.