Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Contractuele overwegingen in de context van de AVG

238 views

Published on

Enkele bedenkingen bij de verschillende contractuele relaties onder de AVG. Opgelet: enkele van mijn standpunten zijn erg controversieel.

Published in: Law
  • Be the first to comment

Contractuele overwegingen in de context van de AVG

  1. 1. De contractuele beschouwingen met uw partners GDPR en het beheer van gegevens in de zorgsector Johan Vandendriessche Brussel, 29 januari 2018
  2. 2. Overzicht • Contractuele beschouwingen • AVG • Relatie tussen verwerkingsverantwoordelijken • Relatie tussen gezamenlijke verwerkingsverantwoordelijken • Relatie tussen verwerkingsverantwoordelijke en verwerker • Niet-persoonsgebonden gegevens • Contractuele overwegingen (commerciële overeenkomsten) • Vertrouwelijkheid • Intellectuele eigendom • Transitie en retransitie • Aansprakelijkheid • Audit en certificatie
  3. 3. Relatie tussen verwerkingsverantwoordelijken • Doorgifte van persoonsgegevens van een verwerkingsverantwoordelijke (A) aan een andere (B) • Twee verwerkingen met eigen kader • Verwerking 1 • A: verwerkingsverantwoordelijke • B: ontvanger (op te nemen in privacy disclaimer A conform artikel 13 AVG) • Verwerking 2 • A: bron (op te nemen in privacy disclaimer B conform artikel 14 AVG) • B: verwerkingsverantwoordelijke • In beginsel geen interferentie tussen verwerkingen • Doorgedreven controle van verwerkingen is niet aangewezen (aansprakelijkheid en risico op gezamenlijke verantwoordelijkheid) • Beperkte garanties en vrijwaring zijn in principe afdoende
  4. 4. Gezamenlijke verwerkingsverantwoordelijken • Gezamenlijke verantwoordelijkheid • Gezamenlijke vaststelling van doel en middelen door meerdere verwerkingsverantwoordelijken • Transparante afspraken rond verantwoordelijkheid voor naleving AVG • Alle verplichtingen • Nadruk ligt op transparantie en uitoefening rechten betrokkene • Wezenlijke inhoud moet aan betrokkene beschikbaar worden gesteld • Betrokkene kan zich richten tot elke verwerkingsverantwoordelijke voor uitoefening rechten
  5. 5. Gezamenlijke verwerkingsverantwoordelijken • HvJ EU Wirtschaftsakademie (Richtlijn 95/46/EG) • Ruime invulling begrip verantwoordelijke • Toegang tot persoonsgegevens niet vereist • Mate van verantwoordelijkheid verschilt van geval tot geval • HvJ Jehovah Witnesses (Richtlijn 95/46/EG) • Ruime invulling begrip verantwoordelijke • Toegang tot persoonsgegevens niet vereist • Mate van verantwoordelijkheid verschilt van geval tot geval • HvJ Fashion ID (Richtlijn 95/46/EG) • Hangende (advies advocaat-generaal is beschikbaar)
  6. 6. Aanpak gezamenlijke verantwoordelijkheid • Overeenkomst • Duidelijke omschrijving van de gezamenlijke verwerking (desgevallend opgesplitst per subverwerking in het licht van de aansprakelijkheid) • Duidelijke aansprakelijkheidsverdeling • Onderling verdelingsmechanisme • Vrijwaring • Samenwerking • Afspraken rond rechten betrokkenen • Mandaat • Informatieplicht • Samenwerkingsplicht • Afspraken rond inbreuken met betrekking tot persoonsgegevens • Transparantie naar betrokkenen • Termsheet • Transparantie AVG • Instructies rond uitoefenen rechten (sturen van verzoeken in functie van afspraken)
  7. 7. Relatie met de verwerker • Beperking van de contractuele vrijheid • Keuze contractpartner • Verwerker die afdoende garanties biedt m.o.o. naleving AVG en de bescherming van de rechten van de betrokkene • Certificatie en gedragscode zijn dienstig indien overeenkomstig AVG • Inhoud van de overeenkomst • Wettelijke verplichte vermeldingen in overeenkomst op grond van artikel 28.3 AVG • Inhoud artikel 28.3 AVG zelf: geen wettelijke verplichtingen van de verwerker (tenzij samenvallend met andere bepalingen) • Formele verplichtingen • Overeenkomst of bindende rechtshandeling • Schriftelijk of elektronisch • Algemene voorwaarden zijn dus nog steeds mogelijk
  8. 8. Inhoud verwerkersovereenkomst • Omschrijving verwerking • Onderwerp • Duur van de verwerking • De aard en het doel van de verwerking • Doel nooit laten bepalen door verwerker: art. 28.10 AVG (!) • Het soort persoonsgegevens • Categorieën van betrokkenen • Houvast • Aanbeveling 6/2017 (categorieën persoonsgegevens)
  9. 9. Inhoud verwerkersovereenkomst • Gedocumenteerde instructies • Vertaalfout in de Nederlandse versie (schriftelijke instructies) • Uitzondering bij wettelijke verplichtingen • Melden indien een instructie strijdig is met AVG en wetgeving bescherming persoonsgegevens (dus beperkt) • Vertrouwelijkheid in hoofde van personeel • Contractuele afspraak tussen partijen is niet afdoende • Implementatie veiligheidsmaatregelen • Oplijsten in bijlage is niet langer wettelijke verplicht • Opnemen bepalingen inzake aanstellen van subverwerkers
  10. 10. Inhoud verwerkersovereenkomst • Bijstand aan de verwerkingsverantwoordelijke bij opvolging uitoefening rechten van de betrokkenen • Aard van de verwerking heeft impact • Mandaat verlenen? • Bijstand in verband met de verplichtingen van de verwerkingsverantwoordelijke ingevolgde art. 32-36 AVG • Opgelet: een eigen verplichting opleggen aan de verwerker is niet hetzelfde als bijstand verlenen bij verplichtingen van de verwerkingsverantwoordelijke • Terugbezorgen en/of vernietigen van persoonsgegevens bij einde dienst • Einde verwerking vs. einde overeenkomst • Keuze van verwerkingsverantwoordelijke • Uitzondering: wettelijke verplichting
  11. 11. Inhoud verwerkersovereenkomst • Medewerkingsplicht bij controle • Alle informatie verstrekken die nodig is om naleving van artikel 28 te verifiëren (dus beperkter dan AVG) • Meewerken aan audits uitgevoerd door verwerkingsverantwoordelijke of auditor aangesteld door hem • Anders gezegd: de keuze van de auditor kan niet uitsluitend door verwerker bepaald worden • Medewerkingsplicht bij audits GBA hoeft niet vermeld te worden
  12. 12. De klassieke discussie: wie gaat dat betalen? • Klassiek thema in onderhandelingen: wie betaalt de bijstand van de verwerker? • AVG bevat geen uitdrukkelijke bepaling die vergoeding uitsluit (minimuminhoud artikel 28.3 AVG) • Bijstandsplicht is geen wettelijke verplichting • De wettelijke verplichting is het opnemen van inhoud in de overeenkomst, niet de uitvoering van de overeenkomst (behoudens voor bepaalde samenvallende elementen, b.v. artikel 32 AVG) • Besluit: commerciële discussie • Tip: uitdrukkelijke clausules over betalend / gratis karakter van de bijstand vallen op • Geen clausule = in beginsel gratis bijstand
  13. 13. Praktisch • Reeds bestaande bepalingen inzake verwerking in overeenkomst • Amendement • Addendum • Aparte verwerkersovereenkomst • Geen bepalingen of geen overeenkomst • Amendement / Addendum • Aparte verwerkersovereenkomst • Opgelet voor afzonderlijke verwerkersovereenkomsten • Aansprakelijkheidsregeling hoofdovereenkomst is niet automatisch van toepassing op afzonderlijke verwerkersovereenkomst (geen clausule = onbeperkte aansprakelijkheid) • Verwijzing naar hoofdovereenkomst is delicaat: één globale beperking of een afzonderlijke, identieke toepassing (1 + 1 = 2)
  14. 14. Niet-persoonsgegevens • Relevant? • Niet alle gegevens zijn persoonsgegevens, b.v. geanonimiseerde gegevens in context van wetenschappelijk of statistisch onderzoek • Toekomstige wetgeving • Verordening 2018/1807 vrij verkeer niet-persoonsgebonden gegevens • Toepassing vanaf 29 mei 2019 • Basisprincipes • Vrij verkeer van gegevens binnen de EU (uitgezonderd openbare veiligheid) • Beschikbaarheid van gegevens voor bevoegde autoriteiten • Dataportabiliteit • Beperkte impact op contractpraktijk
  15. 15. Contractuele overwegingen • Vertrouwelijkheid • Definitie • Uitsluitingen • Verplichting tot vertrouwelijkheid • Doelbinding • Forfaitaire schadevergoeding? • Valkuilen • Duur van de verbintenis • Mededeling op grond van een overheidsbesluit of rechtelijke uitspraak
  16. 16. Contractuele overwegingen • Intellectuele eigendom • Ontwikkeling van een software • Wie is eigenaar? • Gebruik van een software • Welk gebruiksrecht krijg ik • Eigendom van data bij samenwerking met een technologieprovider • In principe neutraal op het vlak van intellectuele eigendom • Indien de commerciële partner de tool ontwikkelt en de databank produceert = commerciële partner eigenaar van de databankrechten
  17. 17. Gebruikelijke bedingen Overzicht titulariteit in contractuele relaties zonder contractuele regeling Auteursrecht Software Octrooi Databank WG-WN Auteur (werknemer) Vermoeden van overdracht aan werkgever (enkel voor software) Werkgever Producent (werkgever) Klant - Dienstverlener Auteur (dienstverlener of diens werknemers / consultants) Auteur (dienstverlener of diens werknemers / consultants) Uitvinder (dienstverlener) Producent (klant)
  18. 18. Contractuele overwegingen • “Voorafbestaande intellectuele eigendomsrechten” / “background IP” • Sommige elementen van de deliverables zijn voorafbestaand of eigendom van een derde • Eigendom kan niet worden overgedragen • Risico • Uitholling van het eigendomsrecht op de deliverables • ‘Vendor lock-in’ • Oplossing • Ruime licentie (eigendomsbenaderend) op deze elementen • Enkel elementen toelaten waarvan de eigendom kan worden overgedragen (kostenverhogend?) • Enkel toelaten voor eenvoudig vervangbare elementen
  19. 19. Contractuele overwegingen • Transitie en retransatie • Transitie = projectfase met oplevering • Retransitie = demobilisering • Insourcing • Overdracht aan opvolgende dienstverlener • Retransitie • Opmaak van een exitplan • Uitvoering van een exitplan • Duur van de exit fase? • Technische impact? • Financiële voorwaarden? • Wat met data? • Dataformaat • Conversiekosten
  20. 20. Contractuele overwegingen • Aansprakelijkheid - Exoneratieclausule • Contractuele aansprakelijkheid = in principe onbeperkt: alle schade moet worden vergoed • Commercieel gebruikelijk om dit te beperken • Aansprakelijkheidsbeperking is toegestaan, behalve: • Beperking aansprakelijkheid voor bedrog of opzettelijke fout (dus wel: zware fout!) • Bepalingen van openbare orde of dwingend recht • Beperking die elke zin wegneemt van de verbintenis • Mogelijkheden: • Omvang van de aansprakelijkheid (bedrag) • Aard van de fout (b.v. enkel aansprakelijk voor zware fout) • Aard van de schade (geen gevolgschade)
  21. 21. Contractuele overwegingen • Aansprakelijkheid: valkuilen en tips • Wederkerigheid? • Rechtstreekse schade vs. onrechtstreekse schade • Definitie • Uitsluitingen uit het begrip van onrechtstreekse schade • Onbeperkte aansprakelijkheid voor specifieke gevallen? • Uitholling aansprakelijkheidsbeperking via vrijwaringsplicht? • Contractjaar vs. kalenderjaar • Verjaringsregels • Wederkerigheid?
  22. 22. Contractuele overwegingen • Audit en certificatie • Klanten eisen steeds meer bewijzen van ‘quality control’ • Inzage in interne processen / methodologie • Certificatie (ISO 9000 / ISO 27000) • Auditclausules worden nog veelvuldig opgenomen in overeenkomsten • Meer en meer een ‘dreigingsmiddel’, eerder dan effectief uitgevoerd • Leveranciers vervangen audits meer en meer door certificatie • ISAE3402 • ISO 9000 of ISO 27000 • Certificatie omvat standaard recurrente audit door een externe partij • Certificatie kan alternatief zijn voor audit in de context van de verwerking van persoonsgegevens
  23. 23. Uw data behoort u toe, zorg dat uw overeenkomsten dat weerspiegelen! Johan Vandendriessche Advocaat |Affluo Professor ICT-recht | UGent | HoWest Gastdocent Information Security Law | Solvay Brussels School j.vandendriessche@affluo.be +32 486 366 234

×