Oh, en verwerkersovereenkomsten sluit je dus alleen met verwerkers, niet met al je partners

| AE 11491 | Privacy | 19 reacties

Een lezer vroeg e:

Ik ben een klein ict-bedrijfje dat onderhoud en apparatuur levert aan het mkb. Steeds vaker krijg ik verwerkersovereenkomsten onder mijn neus, en na even wat gesnuffeld te hebben aan de AVG vraag ik me af, bén ik eigenlijk wel verwerker voor al die klanten? Ik hoor het ook van branchegenoten dat ze standaard bij iedereen een verwerkersovereenkomst moeten tekenen. Waarom doet iedereen dat?

Dat doet iedereen omdat iedereen het doet en omdat het een zichtbare AVG-compliance actie is. “Dan hebben we het maar geregeld, en als iemand een keer geen verwerker is dan is de overeenkomst toch meteen van tafel”, aldus een bedrijfsjurist die ik tegenover me had bij zo’n ict-bedrijf.

Allereerst is er veel verwarring over het begrip ‘verwerker’. Omdat ‘verwerken’ een standaardbegrip is uit de AVG, denk ik dat een hele zwik ondernemers meent dat je een verwerkersovereenkomst moet tekenen als je iemand opdracht geeft om te gaan verwerken. Dat is natuurlijk onjuist: alleen als je opdrachtnemer kwalificeert als verwerker, is zo’n ding nodig. In veel meer gevallen dan mensen denken, is je opdrachtnemer verwerkingsverantwoordelijke (en, ik zeg het maar even, dan dus géén verwerker).

Ten tweede weten veel mensen niet wanneer iemand verwerker is, of wil men geen risico lopen en wordt de wederpartij maar even tot verwerker gebombardeerd. En ik geef toe, dit is ook een lastige. De kortdoordebochtomschrijvingen (de populairste “je verwerkt persoonsgegevens in het kader van een opdracht”) hebben altijd afbakeningsproblemen, en de wettelijke omschrijvingen en uitleg daarvan van de toezichthouders en hun Comité zijn zo vaag dat je er niet mee kunt werken.

Verwerkerschap is een afweging van factoren. Mijn algemene vuistregel is dat je eigenlijk werk uitvoert dat de ander (de verantwoordelijke) net zo goed zelf zou kunnen doen. Ik heb een boekhouder, maar ik kan ook een accountantskantoor inhuren voor de administratie. Ik heb een mailserver, ik kan ook een Office 365 dienstverlener inschakelen. Dan is de partij die je het werk laat overnemen, je verwerker.

Het lastige is dat een partij die werk voor je overneemt, dat ook kan doen zonder verwerker te zijn. Bij een administratiekantoor is dat wat lastig denkbaar, maar zo’n Office-dienstverlener kan zelf besluiten de dienstverlening aan te passen of andere beslissingen te nemen over de dataverwerking. Dat is in strijd met verwerker zijn. En veel ict-dienstverleners komen in zo’n grijs gebied terecht; ze verwerken andermans data maar nemen zelf beslissingen over hoe ze dat doen.

Het is goed mogelijk dat je na analyse tot de conclusie komt dat de dienstverlener toch verwerker is. Maar dan heb je er dus over nagedacht en wel samen met je dienstverlener. Heel wat anders dan met de inkoopvoorwaarden een verwerkersovereenkomst meesturen en eisen dat die even wordt getekend voor de compliance. En dat is volgens mij wat er vaak gebeurt.

Arnoud

Deel dit artikel

  1. Als je stelt dat “In veel meer gevallen dan mensen denken, is je opdrachtnemer verwerkingsverantwoordelijke (en, ik zeg het maar even, dan dus géén verwerker).”, hoe zit het dan met het doorgeven van de gegevens?

    Als ik met partij A een overeenkomst heb, en partij A draagt mijn gegevens over aan partij B, die dan verwerkingsverantwoordelijke wordt, zie ik enkele problemen:

    1) partij A lijkt me dat transparant te moeten melden. 2) Welke rechtsgrond kan partij B realistisch inroepen, ik heb er geen overeenkomst mee.

  2. Ik zie meer problemen met een type “office verwerker” en iedereen die zo verwerkingsverantwoordelijke wordt voor langere tijd en enerzijds dienstverlener is naar zijn eigen klant als dienstverlener/beslisser wil zijn naar zijn eigen klant zijn klant. Jammer genoeg willen nogal wal partijen deze 2 rollen tegelijk vervullen.

  3. Hoe zit het met een systeembeheerder als dienst? (in relatie tot klantgegevens). In principe heeft het beheer geen toegang tot klantgegevens nodig, maar het beheerde systeem bevat die gegevens wel. Het is waarschijnlijk dat de beheerder gegevens ziet als bijvangst. Hoewel de beheerder deze na zien meteen kan vergeten is de verwerking (op het scherm weergegeven) al geschied. Is de beheerder dan verwerken, verantwoordelijke (controller) of medeverantwoordelijke (cocontroller). En is er een contract nodig in relatie tot de avg (uiteraard opdrachtcontract). Het is ook duidelijk dat de systeembeheerder niks met de gegevens mag behalve dat wat noodzakelijk is voor het beheer (identificeren van virusverspreiders of zo).

  4. Mijn shorthand voor verwerker/vs controller: – kan (mede-)besluiten welke data wordt verwerkt voor welk doel – dan controller – handelt alleen in opdracht van controller zonder beslissingsbevoegdheid mbt dataverwerking – dan verwerker.

    Lastiger is het doorgeefluik. Als ik, via de telefoon persoonlijke gegevens van een klantdoorgeef aan een collega is het telefoonbedrijf geen verwerker of controller (mbt die gegevens). Ongeacht het feit dat het bedrijf mee kan luisteren.

  5. Goed artikel Arnoud. Je ziet bijvoorbeeld bij Office 365 dat n.a.v. de Rijks DPIA Microsoft zich niet meer geheel opstelt als verwerker, maar voor bepaalde zaken als verantwoordelijke. Denk hier aan verdere diagnoses met niet-anonieme informatie van jouw werknemers bijvoorbeeld. Daarvoor zal Microsoft dan apart toestemming moeten vragen (nog liever zet je dat gewoon uit en maak je daar contractuele afspraken over).

    Alleen na dialoog (of in dit geval een DPIA en vele gesprekken) worden zulke zaken helder. En dan hebben we het nog niet eens over gezamenlijke verwerkingsverantwoordelijken…

    NB: Wat doet jouw blog met mijn e-mailadres? Het is verplicht, wordt niet gepubliceerd…wat wordt er wel mee gedaan? 🙂

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS