Een lezer vroeg e:
Ik ben een klein ict-bedrijfje dat onderhoud en apparatuur levert aan het mkb. Steeds vaker krijg ik verwerkersovereenkomsten onder mijn neus, en na even wat gesnuffeld te hebben aan de AVG vraag ik me af, bén ik eigenlijk wel verwerker voor al die klanten? Ik hoor het ook van branchegenoten dat ze standaard bij iedereen een verwerkersovereenkomst moeten tekenen. Waarom doet iedereen dat?
Dat doet iedereen omdat iedereen het doet en omdat het een zichtbare AVG-compliance actie is. “Dan hebben we het maar geregeld, en als iemand een keer geen verwerker is dan is de overeenkomst toch meteen van tafel”, aldus een bedrijfsjurist die ik tegenover me had bij zo’n ict-bedrijf.
Allereerst is er veel verwarring over het begrip ‘verwerker’. Omdat ‘verwerken’ een standaardbegrip is uit de AVG, denk ik dat een hele zwik ondernemers meent dat je een verwerkersovereenkomst moet tekenen als je iemand opdracht geeft om te gaan verwerken. Dat is natuurlijk onjuist: alleen als je opdrachtnemer kwalificeert als verwerker, is zo’n ding nodig. In veel meer gevallen dan mensen denken, is je opdrachtnemer verwerkingsverantwoordelijke (en, ik zeg het maar even, dan dus géén verwerker).
Ten tweede weten veel mensen niet wanneer iemand verwerker is, of wil men geen risico lopen en wordt de wederpartij maar even tot verwerker gebombardeerd. En ik geef toe, dit is ook een lastige. De kortdoordebochtomschrijvingen (de populairste “je verwerkt persoonsgegevens in het kader van een opdracht”) hebben altijd afbakeningsproblemen, en de wettelijke omschrijvingen en uitleg daarvan van de toezichthouders en hun Comité zijn zo vaag dat je er niet mee kunt werken.
Verwerkerschap is een afweging van factoren. Mijn algemene vuistregel is dat je eigenlijk werk uitvoert dat de ander (de verantwoordelijke) net zo goed zelf zou kunnen doen. Ik heb een boekhouder, maar ik kan ook een accountantskantoor inhuren voor de administratie. Ik heb een mailserver, ik kan ook een Office 365 dienstverlener inschakelen. Dan is de partij die je het werk laat overnemen, je verwerker.
Het lastige is dat een partij die werk voor je overneemt, dat ook kan doen zonder verwerker te zijn. Bij een administratiekantoor is dat wat lastig denkbaar, maar zo’n Office-dienstverlener kan zelf besluiten de dienstverlening aan te passen of andere beslissingen te nemen over de dataverwerking. Dat is in strijd met verwerker zijn. En veel ict-dienstverleners komen in zo’n grijs gebied terecht; ze verwerken andermans data maar nemen zelf beslissingen over hoe ze dat doen.
Het is goed mogelijk dat je na analyse tot de conclusie komt dat de dienstverlener toch verwerker is. Maar dan heb je er dus over nagedacht en wel samen met je dienstverlener. Heel wat anders dan met de inkoopvoorwaarden een verwerkersovereenkomst meesturen en eisen dat die even wordt getekend voor de compliance. En dat is volgens mij wat er vaak gebeurt.
Arnoud
En wat adviseer je aan een partij in twijfel of een leverancier een verwerker is of niet. Gewoon toch een standaard verwerkingscontract voorleggen of niet ?
Nee, goed (laten) uitzoeken of die partij een verwerker is of niet. “Voor de zekerheid” de makkelijke route kiezen mag niet van de AVG.
En hoe wil je dat betaalbaar uitzoeken als de overeenkomst zelf een waarde heeft van minder dan zeg 250 euro per jaar. Het goed laten uitzoeken kost al gauw meer.
Hier is gewoon niet over nagedacht en er gebeurt simpelweg één van twee dingen: 1. Toch voor de zekerheid een overeenkomst, of 2. de AVG volkomen negeren omdat het economisch niet haalbaar is.
Ik heb beide helaas, maar volkomen verwacht, in de praktijk gezien.
Wij zijn zelf al inkomsten misgelopen, omdat wij als niet verwerker weigeren een verwerkingscontract te tekenen. Niet ieder bedrijf kan zich dat veroorloven en dat is voornamelijk waar ik bovenstaande zie; bij kleine bedrijfjes in een branche waar de marges al zwaar onder druk staan.
En nee, ik heb degenen die de AVG negeren niet gemeld bij AP. Ik ken ze als integere personen die graag het juisten zouden doen, maar failliet gaan als ze de AVG tot in het detail zouden volgen. Ik heb meer sympathie voor hun motivatie niet persoonlijk failliet te willen gaan (eenmanszaken) dan met het ondoordachte gedrocht AVG.
Een leverancier van apparatuur is uiteraard geen verwerker.
Maakt het voor het verwerkerschap uit waar de gegevens zich bevinden? In dit geval is het enkel onderhoud aan systemen van de klant. Als daar überhaupt al gegevensverwerking bij komt kijken.
Hoe komt de monteur ter plaatse? Waarschijnlijk met een werkbon al dan niet elektronisch. Daar zal vaak een contactpersoon op staan. Dus dan ben je al aan bezig met gegevens. Wellicht dat die werkbon getekend moet worden na het onderhoud. Dus gegevens zijn er bij het onderhoud. Op kantoor van de leverancier zal een dossier zijn om aan te tonen dat het onderhoud plaats vindt. Wellicht ook klachten registratie etc. Dus eerder het zal wel dan het zal niet en zul je toch moeten kijken wie wat is.
Het lijkt me sterk dat je door een contactpersoon te vermelden op een werkbon al een verwerkingsovereenkomst nodig hebt. Je verwerkt dan namelijk geen gegevens namens een opdrachtgever (een verwerkingsverantwoordelijke); je verwerkt gegevens van een opdrachtgever (en bent dus zélf een verwerkingsverantwoordelijke).
Het ging me vooral om deze opmerking 🙂 “Als daar überhaupt al gegevensverwerking bij komt kijken.”
Als de ‘aannemer’ in zo’n geval met werkopdrachten de verwerkingsverantwoordelijke wordt, zou de grondslag dan kunnen zijn: “De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is” ? Of zou het commerciële belang van de aannemer ook voldoen aan: ” de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke”?
Het verwerken van contactgegevens van je opdrachtgevers valt volgens mij evident onder die eerste grondslag die je noemt (noodzaak overeenkomst). Hoe kan ik een opdracht voor jou doen als ik je niet kan bereiken of noemen?
En als een vereniging een tussenpersoon is, die een opdracht verstrekt aan de aannemer om werk uit te voeren bij een verenigingslid (zoals bij een Vereniging van Eigenaren) ? Valt dat lid dan nog steeds onder ‘waarbij betrokkene partij is’? Het lid is niet direct betrokken bij de overeenkomst tussen de aannemer en de vereniging. Het lid heeft wel een (algemene) overeenkomst met de vereniging. Misschien is dan toch ook gerechtvaardigd belang door de aanemer te gebruiken?
Je bent wel aan het verwerken maar geen verwerker.
Dat is een wat kernachtiger samenvatting.
Als je stelt dat “In veel meer gevallen dan mensen denken, is je opdrachtnemer verwerkingsverantwoordelijke (en, ik zeg het maar even, dan dus géén verwerker).”, hoe zit het dan met het doorgeven van de gegevens?
Als ik met partij A een overeenkomst heb, en partij A draagt mijn gegevens over aan partij B, die dan verwerkingsverantwoordelijke wordt, zie ik enkele problemen:
1) partij A lijkt me dat transparant te moeten melden. 2) Welke rechtsgrond kan partij B realistisch inroepen, ik heb er geen overeenkomst mee.
Dat is een terecht punt waar men vaak de mist in gaat. Het kan per toeval goed gaan, als een webwinkel bijvoorbeeld zegt “uw pakket wordt met PostNL verzonden” dan zijn ze transparant over de doorgifte aan verwerkingsverantwoordelijke PostNL. Of bij een online dienst “betaal via Mollie”.
Ik zie meer problemen met een type “office verwerker” en iedereen die zo verwerkingsverantwoordelijke wordt voor langere tijd en enerzijds dienstverlener is naar zijn eigen klant als dienstverlener/beslisser wil zijn naar zijn eigen klant zijn klant. Jammer genoeg willen nogal wal partijen deze 2 rollen tegelijk vervullen.
Hoe zit het met een systeembeheerder als dienst? (in relatie tot klantgegevens). In principe heeft het beheer geen toegang tot klantgegevens nodig, maar het beheerde systeem bevat die gegevens wel. Het is waarschijnlijk dat de beheerder gegevens ziet als bijvangst. Hoewel de beheerder deze na zien meteen kan vergeten is de verwerking (op het scherm weergegeven) al geschied. Is de beheerder dan verwerken, verantwoordelijke (controller) of medeverantwoordelijke (cocontroller). En is er een contract nodig in relatie tot de avg (uiteraard opdrachtcontract). Het is ook duidelijk dat de systeembeheerder niks met de gegevens mag behalve dat wat noodzakelijk is voor het beheer (identificeren van virusverspreiders of zo).
Mijn shorthand voor verwerker/vs controller: – kan (mede-)besluiten welke data wordt verwerkt voor welk doel – dan controller – handelt alleen in opdracht van controller zonder beslissingsbevoegdheid mbt dataverwerking – dan verwerker.
Lastiger is het doorgeefluik. Als ik, via de telefoon persoonlijke gegevens van een klantdoorgeef aan een collega is het telefoonbedrijf geen verwerker of controller (mbt die gegevens). Ongeacht het feit dat het bedrijf mee kan luisteren.
Goed artikel Arnoud. Je ziet bijvoorbeeld bij Office 365 dat n.a.v. de Rijks DPIA Microsoft zich niet meer geheel opstelt als verwerker, maar voor bepaalde zaken als verantwoordelijke. Denk hier aan verdere diagnoses met niet-anonieme informatie van jouw werknemers bijvoorbeeld. Daarvoor zal Microsoft dan apart toestemming moeten vragen (nog liever zet je dat gewoon uit en maak je daar contractuele afspraken over).
Alleen na dialoog (of in dit geval een DPIA en vele gesprekken) worden zulke zaken helder. En dan hebben we het nog niet eens over gezamenlijke verwerkingsverantwoordelijken…
NB: Wat doet jouw blog met mijn e-mailadres? Het is verplicht, wordt niet gepubliceerd…wat wordt er wel mee gedaan? 🙂