Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het iemand laten tekenen van een verwerkersovereenkomst is iets dat je kunt doen om AVG compliance aan te tonen, dus zullen er verwerkersovereenkomsten worden getekend. Tegen beter weten in dan ook vandaag, wanneer is iemand nou een verwerker?

De positie van een verwerker onder de AVG is in theorie heel simpel. Dat is een partij die door de verantwoordelijke is ingeschakeld om bepaalde dingen te doen met persoonsgegevens. De verantwoordelijk bepaalt daarbij wat er uiteindelijk moet gebeuren en hoe (“doel en middelen”, in de AVG terminologie), zij het dat de verwerker wel enige ruimte heeft om dit praktisch in te vullen.

Een simpel voorbeeld van een verwerker is een clouddienstverlener die jouw klantgegevens online opslaat. Jij kiest voor die clouddienst en welke gegevens je daar opslaat, de praktische invulling daarvan laat je aan de dienstverlener. Die is dus een verwerker. Géén verwerker is een clouddienst zoals Facebook, omdat die zelf bepaalt welke gegevens ze willen hebben en wat ze daarmee doen.

Natuurlijk zit je vaak met grijze gevallen. Zo’n clouddienst kan die klantgegevens gebruiken voor eigen “kwaliteitsdoeleinden”, of zelfs reclameprofielen opbouwen van die klanten en daar gerichte reclame aan tonen. Dan verschuift die dienstverlener van een zuivere verwerker toch meer richting een eigen verantwoordelijkheid. Er zijn helaas niet echt harde regels om hier een algemene scheidslijn in te trekken.

Ik heb een tijdje terug een advieswizard gemaakt die probeert met een aantal vragen een inschatting te maken. Dat werkt beter dan vage passages zoals in de Handleiding AVG van de Rijksoverheid, met daarin

Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.

Hierdoor gaan mensen dus denken dat een clouddienstverlener of IT-supportbedrijf geen verwerker is omdat het gebruik van persoonsgegevens een “uitvloeisel” is van de echte opdracht. Er is niet één vuistregel, één formule om dit te bepalen. Je moet kijken naar alle factoren bij elkaar, en zo inschatten hoe veel eigen ruimte de dienstverlener heeft om te bepalen wat hij doet.

In ieder geval sluit je géén verwerkersovereenkomst met

  1. Je personeel. Die zijn immers gewoon deel van je eigen organisatie.
  2. Je vrijwilligers en ingehuurde krachten. Die vallen onder het kopje “personen onder gezag” van jouw organisatie en zijn dus geen verwerkers.
  3. De personen wiens persoonsgegevens je verwerkt. Ja, dit wordt geëist.
  4. Bedrijven die contactgegevens van jouw personeel in hun CRM systeem stoppen. Dat doen ze immers voor hun eigen bedrijfsvoering.

Overigens zou de verwerkersovereenkomst eigenlijk afgeschaft moeten worden, maar dat een andere keer.

Arnoud

36 reacties

  1. Interessant argument dat je de verwerkersovereenkomst graag afschaft in de huidige vorm. Ik ben het met je eens dat het nu nog vaak op het laatste moment moet worden geregeld in de onderhandeling, en door een andere persoon dan de contractonderhandelaar. Daarnaast wordt het nu ook nog vaak pas achteraf geregeld (omdat je software al jaren gebruikt, maar er nu pas aandacht is voor het maken van afspraken over beveiliging/persoonsgegevens). Het zou deel van het aankoopproces moeten zijn, liefst deel van het contract met de verwerker. Daarbij wil ik wel de aantekening maken dat ik het liever niet verspreid zie over de SLA, terms of use etc., omdat in de praktijk de privacy voorwaarden toch vaak door een apart persoon beoordeelt gaan worden en dan is het handig als het bij elkaar staat.

    Wat me nog steeds verbaast overigens is hoe vaak er naar privacy policies wordt verwezen als je vraagt naar een verwerkersovereenkomst. Ook is de verwerker vaak niet bereid om in te gaan op de verwerkersovereenkomst van de verantwoordelijke, maar accepteert hij alleen een handtekening op hun eigen variant, waar vaak vanalles in mist.

  2. In de zorg is er al jaren een standaard be-/verwerkersovereenkomst beschikbaar. Daar waar de eerste idd eenzijdig was in het voordeel van de verantwoordelijke zorg instelling. Is de huidige variant vastgesteld binnen het BoZ wel evenwichtig. Bij ons is het inmiddels de praktijk dat binnen het inkooptraject de verwerkersovereenkomst direct aangeboden wordt bij het contract, evenals de Algemene Inkoopvoorwaarden Gezondheidszorg (AIVG), en is integraal onderdeel van het contract, met de juiste volgordelijkheid. Het geschetste beeld herken ik wel, maar ik zie dat in de zorg dit aan het verschuiven is. Dit merk ik ook aan de reacties van de leveranciers, die vaak zonder problemen deze standaard overnemen of soms zelf aanbieden.

    1. Hallo Peter, Arnoud,

      de eerste “zorgbewerkersovereenkomst” was stevig, maar eigenlijk niet meer eenzijdig dan de ICT-office voorwaarden dat zijn. De BoZ-standaard is inderdaad zeer schappelijk en evenwichtig en toch blijven veel leveranciers (partners mag je ze eigenlijk niet noemen meer) drammen op hun eigen voorwaarden, uitsluitingen, beperkingen . Dan de vraag: je komt in een impasse, er komt geen Verwerkersovereenkomst tot stand en als Verantwoordelijke verlaat je niet zomaar je (ECD) leverancier. Hoe kwetsbaar ben je dan, wat kun je nog aan acties ondernemen richting leverancir, waarvoor is-ie wel/niet aansprakelijk? Kortom: is er nog beweging te krijgen in zo’n stand-off?

      1. Die impasse komt doordat mensen de VO behandelen als een juridisch vereiste, een stukje onderhandeling dat moet omdat er een AVG aan komt. Vaak gebeurt dat pas als de commerciële deal al rond is. Er is dan gewoon geen ruimte meer om nog eens inhoudelijk op alles in te gaan, en met name niet om de prijs/prestatie verhouding aan te passen. Dan wordt het heel ingewikkeld.

        Ik vind dan ook dat een VO-onderhandeling parallel moet lopen aan de commerciële onderhandeling, en dat clausules uit de VO hetzij moeten verwijzen naar de overeenkomst/SLA hetzij inhoudelijk identiek daaraan moeten zijn. Het kan niet waar zijn dat je eerst drie pagina’s security gaat onderhandelen in je SLA, daar beiden tevreden over bent en dan in je VO botweg “verwerker garandeert adequate security” opneemt omdat artikel 32 AVG nu eenmaal adequate security eist. Als die SLA security adequaat is dan schrijf je dat op, en is hij niet adequaat dan ga je terug en máák je hem adequaat.

  3. Okay, maar is de gemiddelde ICT dienstverlener, een partij die vaak volledige toegang heeft tot je netwerk, gegevens e.d. een verwerker? Heel vaak hoor ik “Ja, maar wij zijn geen verwerker want anders zou iedereen die toegang heeft tot persoonsgegevens een verwerker zijn” of “Ja, wij zijn geen verwerker want we kijken nooit in de database met persoonsgegevens”.

    1. Dat “iedereen die toegang heeft tot persoonsgegevens een verwerker [zou] zijn” is een juiste stelling. Tenzij je je die toegang verschaft voor eigen doeleinden. Als ICT dienstverlener die persoonsgegevens langs krijgt, ben je dus eigenlijk altijd verwerker. Daarom adviseer ik ICT-bedrijven ook om in de opdracht op te nemen “waag het eens mij persoonsgegevens te geven”.

      1. Okay, dus, ik ben een webhost – ik ben geen webhost maar for the sake of argument – en mijn klant heeft een database met klantgegevens op mijn server staan. Dan ben ik als webhost een verwerker want ik sla de gegevens op.

        En als ik als organisatie een server heb met diezelfde database en ik zeg tegen die dienstverlener “Hij is van mij maar jij moet ‘m beheren”. Is dit dan ook een verwerker? Ik denk altijd aan het geval dat ICT dienstverlener bijvoorbeeld een server met persoonsgegevens om zeep helpt. Dan heb je in dat geval toch een datalek?

        Ja, ik heb veel te maken met ICT bedrijven die zeggen dat ze geen verwerker zijn 🙂

      2. Onze (externe) webbouwer heeft toegang tot alle gegevens die via onze site verzameld worden (via aanvraagformulieren etc) en is dus ook een verwerker, begrijp ik hieruit. Hij heeft die gegevens natuurlijk helemaal niet nodig, maar ‘krijgt ze er in feite ongevraagd bij’. Dat zal niet aan te passen zijn, denk ik? Dus een verwerkersovereenkomst opstellen. Iemand hier een goed voorbeeld van (en bij voorkeur in Jip&Janneke taal)?

          1. Ik ben het met je eens dat dit de voorkeur geniet. No personal data? No problem 😉 Wat als de persoon die geen toegang heeft tot de data de gegevens verwijderd door de hele database om zeep te helpen?

          2. Daar lees ik o.a.

            U heeft een webwinkel en bewaart alle klantgegevens op via een clouddienst van een hostingbedrijf. In dit geval besteedt u de gegevensverwerking uit aan dit hostingbedrijf, welke in dit geval de verwerker is. U bent in dit geval de verwerkingsverantwoordelijke voor de verwerking: u bepaalt voor welke doeleinden deze gegevens verzameld en gebruikt worden.

            Maar stel nu dat die cloudfunctie inhoudt dat ik (laten we mezelf als voorbeeld nemen, hoewel ik daar helemaal geen persoonsgegevens heb staan; o ja, toch, IP-nummers in de Apache-logging, maar die gooi ik vrij snel weer weg) een afgeschermde VPS afneem bij die clouddienstverlener. Alleen ik kan daarbij, niemand heeft de wachtwoorden, ook de clouddienstverlener niet. Dan zijn zij toch geen verwerker??

            Hoewel, in geval van rare calamiteiten, zoals wanneer ik ga megaspammen of DDos-en, zullen ze toch wel dingen kunnen. Maar dat doen ze normaal nooit, en het is ook nooit nodig, want uiteraard gedraag ik me netjes en doe ik alles zelf zoals het hoort. Het enige dat er gebeurt, is dat die Apache-logfile ergens op hun schijf staat, namelijk in mijn FreeBSD-server die virtueel gehost wordt op iets Linux-achtigs op hun fysieke servers waar ik niet bij kan en ook het fijne niet van weet en ook niet hoef te weten.

            Zijn zij dan verwerkers en moet ik een overeenkomst gaan afsluiten? Ik hoop het toch niet. Nog gekker: zijn zij verwerkingsverantwoordelijke in de zin van Artikel 4 punt 7, omdat ze middelen ter beschikking stellen? Nee, want IK bepaal die middelen (namelijk schijfopslag). En er staat “bepalen”, niet “verschaffen”. Toch?

            1. Het tool van Arnoud gebruikt https://privacystore.nl/advies/is-dit-een-verwerker, en daar komt uit dat ik met mijn VPS-dienstverlener een verwerkersovereenkomst moet afsluiten. Ik begrijp de argumentatie. Maar ik denk ook “ze zien me aankomen” en “hebben ze bij die EU nou echt goed nagedacht over de maatschappelijke consequenties van die verordening?”.

              Ik dacht eerst van niet, na een stukje bestudering dacht ik “het valt allemaal wel mee, het zit wel goed in elkaar”, maar nu toch weer “het is een onwerkbaar gedrocht, als iedereen zich hier ECHT aan gaat houden, kost het miljarden en raken heel veel mensen en bedrijven geïrriteerd door het ‘moet dit echt? wat een onzin!’-effect.”

              Dat denk ik. Maar ik hoop dat ik ongelijk heb.

  4. Prima stuk over de VO. Ik zit met twee vragen: Gaan we ook een VO afsluiten met Post NL als we een USB-stick met privacy-gevoelige data versturen via Post NL ?, of een te repareren (defecte) harddisk o.i.d.

    Verder de discrepantie dat IEDER bedrijf per 25-05-2018 aan de AVG moet voldoen, waarom moet je dan onderling nog een VO afsluiten ?

  5. Met PostNL zou ik geen overeenkomst afsluiten, omdat zij door de wet mbt postgeheim een grondslag hebben om de persoonsgegevens te verwerken, nl. het transport.

    Daarin zit ook het antwoord op jouw tweede vraag: de VO regelt voor de verantwoordelijke bepaalde zaken mbt aansprakelijkheid, recht op audit etc., maar regelt voor de verwerker de grondslag om de gegevens op te slaan. Een bedrijf mag geen persoonsgegevens opslaan zonder wettelijke grondslag of expliciete, vrijgegeven toestemming. Een VO legt dit vast en legt de verantwoordelijkheid bij de verantwoordelijke om hiervoor wel een grondslag te hebben.

    1. Beste Pieter, is het niet zo dat je net zoveel gegevens mag opslaan AVG), zolang je ze maar niet gebruikt (VPEC) ? Voorbeeld het laten repareren van een harddisk. Daar staan gegevens op, maar gebeurt verder niets mee. De gegevens zijn ook niet in te zien (encrypted).

      1. Opslaan is ook een verwerking, ook al is het versleuteld. Raak je de data kwijt, valt dat onder de aansprakelijkheid van de verwerker.

        De wetgeving gaat het organisaties die met persoonsgegevens werken niet makkelijk maken. Als verantwoordelijke mag je alleen maar zaken doen met organisaties waarmee je afspraken kunt maken die de waarborgen hebben zoals die in de AVG genoemd zijn (common practice verwerkersovereenkomst), anders moet je een andere partij betrekken. Dat betekent waarschijnlijk dat het niet altijd meer de goedkoopste gaat zijn.

  6. Ik blijf het lastig vinden om te bepalen wanneer je nu een verwerker inschakelt of dat dat bedrijf zelf verwerkingverantwoordelijke is. Neem het voorbeeld dat een bedrijf een bloemetje wil sturen naar een relatie op het privéadres. Is de bloemist nu een verwerker en ben je al bedrijf nu verplicht een VO af te sluiten met de bloemist of niet?

    1. Ga eens spelen met mijn Verwerkerswizard 🙂

      Mijn gevoel is, dit is géén verwerker want de bloemist bepaalt zelf hoe hij de bloemen bij de relatie krijgt en hoe hij die dienstverlening invult. De bloemist kan bijvoorbeeld zelf besluiten na te bellen met advies over het fris houden van de bloemen, of een versheidgarantie bieden (gratis nieuwe bloemen indien dood binnen een week).

  7. Ook wel boeiend dat een woord “verwerkersovereenkomst” in de AVG helemaal niet te vinden is, noch iets als “processing agreement” in de Engelse versie.

    [Even later]

    Jawel, toch wel, indirect: artikel 28, lid 3

    “De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, […]”.

    “Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller […]”

  8. Je kan taken delegeren maar geen verantwoordelijkheden! Je kan data ergens parkeren of laten verwerken maar blijft daar zelf verantwoordelijk voor! Heerlijk dat men dankzij de AVG daar eens naar kijkt. Ik neem even wat data van je en sla die of je het nu wilt of niet op (in een of andere cloud) en dan doen alsof je niets verkeerd deed als het mis gaat of iemand die data mogelijk had kunnen lezen of benaderen moet eens voor altijd voorbij zijn. IT-ers verzetten zich tegen de AVG maar zouden het moeten oppakken om eens integer en eens privacy en beveiliging bewust te worden en daar ook naar te handelen.

  9. Heer A. Nonymous, ik ben zo’n IT-er, die de hele dag bezig is om data ’te redden’ van gebruikers die niet weten wat ze doen, waar ze het opslaan en de data niet meer terug kunnen vinden. De AVG gaat hier NIETS aan veranderen. En ik verzet mij helemaal niet tegen de AVG, maar wel tegen alle onzin in deze (nauwelijks te handhaven) Verordening. Verder denk ik dat IT-ers meer dan privacy-bewust en integer zijn.

  10. Ik heb me tot nu toe eigenlijk totaal niet verdiept in het AVG-gedoe vooral omdat ik dacht er niet echt wat mee te maken te hebben. Afgelopen weekend kreeg ik dan ineens van een klant een verwerkersovereenkomst, of ik die even wilde ondertekenen. Mijn werkzaamheden zijn vooral reparatie/onderhoud van computers van particulieren (75%) en kleine bedrijven (25%), andere werkzaamheden zijn leveren van nieuwe pc’s/laptops/randapparatuur. Ik heb geen contracten of overeenkomsten met de klanten, ze bellen of mailen als er problemen zijn. Afhankelijk van het probleem ga ik ter plaatse het probleem oplossen of wordt het apparaat hier afgeleverd (of opgehaald door mij). Bij mijn klanten zitten ook bedrijven die gegevens van cliënten/patiënten opslaan maar daar doe ik verder niets mee/hoef ik niets mee te doen. Ben ik in dit geval een verwerker of niet?

    Facturen maak ik via een online dienst en daar staan gegevens (NAW, telefoonnummer, mailadres) van mijn klanten in opgeslagen. Is dat iets waar ik nog rekening mee moet houden?

    1. Mijn advies zou zijn om een anti-verwerkersbepaling op te nemen: zet in je opdracht dat jij onder geen beding persoonsgegevens mag ontvangen, en dat klant aansprakelijk is als het toch gebeurt. Er is gezien wat je zegt geen reden waarom je persoonsgegevens moet krijgen, dus spreek af dat het niet mag gebeuren.

      1. De opdrachten zijn eigenlijk altijd mondeling, een heel enkele keer via mail maar ik neem liever telefonisch contact op zodat de afspraak direct gepland kan worden in plaats van wachten op een reactie en hopen dat ik in de tussentijd niet wat anders gepland heb.

        Misschien maar een heel eenvoudig contractje laten opstellen met die anti-verwerkersbepaling erin voor de klanten die er om vragen..

      2. Dat gaat hem niet worden natuurlijk, als er PC’s / Harddisks worden gerepareerd, waarop die Persoonsgegevens al aanwezig zijn…. Dit is ook een groot probleem voor Technische diensten van ICT-bedrijven. Als het apparaat stuk is, kan de eigenaar de Privacy gevoelige data er niet eerst afhalen. En er zullen ALTIJD adressenboekjes en emailadressen op zo’n device aanwezig zijn.

        1. Dat is ook wat overdreven. Helaas eist de AVG nu eenmaal die formele handeling. Je kunt dus twee dingen doen, allereerst toch kijken of je de ontvangst van persoonsgegevens kunt minimaliseren (desnoods door die 2 uur werk niet meer te doen) en ten tweeee door die verwerkersovereenkomst uit te kleden tot het zuiver een formaliteit is geworden.

  11. In ieder geval sluit je géén verwerkersovereenkomst met
    1. Je personeel. Die zijn immers gewoon deel van je eigen organisatie.

    Het misverstand wordt misschien in de hand gewerkt doordat in de Nederlandse AVG “in dienst nemen” staat waar ze eigenlijk bedoelen ‘inschakelen, inhuren’.

    Artikel 28, lid 2; 28 lid 3, punt d; 28 lid 4. Ik zie dat als een vertaalfout.

    Engels: to engage Frans: recruter Duits: in Anspruch nehmen.

  12. Ik heb een klusbedrijf (zonder personeel), mensen mailen mij, ga lang en maak een offerte en wanneer de ze geaccepteerd wordt dan ga ik de werkzaamheden uitvoeren. Wanneer het af is maak ik een factuur en mail ik deze naar de klant. Ik heb geen adressenbestand helemaal niets, moet ik een verwerkingsovereenkomst maken en deze aan de klant overhandigen?

    1. Zowel op de factuur (7 jaar) als op een offerte die niet tot werk leidde (1 jaar na gunning aan ander/annulering opdracht) zit een vernietigingstermijn. Dit betekent dat je ze zolang moet bewaren, maar ook niet langer mag bewaren.

      Het lijkt me dat daarbij geen verwerkersovereenkomst zit. Let wel even op dat je geen onnodige gegevens van de klant verzameld/opstuurt (BSN, bankgegevens, enzovoorts)

  13. Beste, Als overheidsinstelling schrijven wij vaak overheidsopdrachten uit waarop aannemers kunnen reageren. Wanneer een aannemer op zulk een opdracht wil inschrijven moet deze de CV’s van zijn werknemers meesturen die hij op het project wil inschakelen. Moeten wij nu volgens de AVG met elke aannemer die dit doet een verwerkingsopdracht afsluiten?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.