Hoe hou je je verwerkersovereenkomsten op één lijn?

Een lezer vroeg me:

Als ICT-dienstverlener krijg ik van al mijn klanten verwerkersovereenkomsten. Dat is tot daar aan toe, ik ben eigenlijk altijd ook wel verwerker. Maar iedereen doet het weer anders – en eist daarbij ook nog eens wat anders dan wat mijn leveranciers mij kunnen bieden. Hoe hou je dat nou op een praktische manier op één lijn, hoe zorg je er voor dat al die afspraken blijven kloppen? Is het echt de bedoeling van de AVG dat je bij iedere klant je contracten met de leveranciers gaat openbreken?

Ah, die verwerkersovereenkomst. Het blijft spijtig dat ze ’t ding niet afgeschaft hebben bij de AVG want het is een van de grootste tijdverspillers in de contractering. Zelden zo’n stukje contracten cargo culting gezien. Wat mij betreft blijft het devies: stoppen met dat ding. Maak scherpe privacy-specifieke afspraken in je SLA en je zit goed.

Oké, ik ben alweer rustig. Want het is een feit dat iedereen denkt dat je aparte documenten met aparte afspraken nodig hebt. En dat iedereen het anders doet, want elke casus is uniek en vereist de toegewijze inzet van een zeer ervaren jurist die op maat gesneden clausules produceert om het belang van de cliënt maximaal te dienen. En dan blijf je bezig met dit soort vragen.

Er zijn een paar manieren om dit praktisch op te lossen. Je kunt zeggen, ik heb mijn eigen verwerkersovereenkomst en daar heeft u het mee te doen. Maar als je grote klanten hebt, of de bedrijfsjurist/FG bemoeit zich ermee, dan werkt dat niet altijd. Dan kun je als alternatief een set harde en een set zachte punten voor een verwerkersovereenkomst maken. De harde zijn punten die je niet anders kunt doen, de zachte ben je bereid op toe te geven, eventueel uiterlijk tot een bepaalde grens. Dan onderhandel je in ieder geval een stuk sneller.

Als een klant iets eist dat je leverancier niet kan waarmaken, dan zit je inderdaad knel. Een van de twee zal dan water bij de wijn moeten doen. In principe zou dat de klant moeten zijn – sorry, reeds aangegane verplichtingen gaan niet zo ver en die contracten openbreken kan pas 1 juni 2020. Je kunt het natuurlijk ook als onderhandeltruc brengen: wat u nu vraagt, valt buiten de SLA dus ik moet even navragen wat dat met de prijs doet.

Want uiteindelijk zijn er geen juridische issues, er zijn alleen onderhandelpunten in juridische taal. Aarzel dus nooit een prijs te zetten op een tegenbod van de wederpartij. Je zult versteld staan hoe vaak je dan gelijk krijgt – of meer geld verdient.

Arnoud

6 reacties

  1. Het blijft voor mij, als jonge FG, een strijd om grip te krijgen op de verwerkingsovereenkomsten. Zeker omdat er een X aantal bedrijven niet echt mee willen werken. Om die redenen ben ik deze week begonnen aan een cursus CIPP/E en CIPM. ( gisteren je boek gekocht ) Ook de instructeur geeft aan dat er zoveel niet goed is geregeld binnen de EU dat het nog lang zal duren voordat de wetgeving en de uitvoering ervan enigszins op elkaar zijn afgestemd. Tot die tijd, roeien met de bekende riemen vrees ik.

  2. Verantwoordelijke of verwerker? De wet zegt er iets over. De interpretatie is de mate van invloed voor de verantwoordelijke. Voor de casus belangrijk om te weten wat die dienst is. Als een dienstverlener bepaalt wat er gebeurd zou hij zo maar eens verantwoordelijke kunnen zijn. Dat je dan nog steeds goede afspraken over beveiliging hebt moge duidelijk zijn.

      1. Als de klant weet dat je bepaalde diensten door verkoopt, bv Office 365 wil deze wel eens akkoord gaan met die specifieke verwerkersovereenkomst. Dat maakt de discussie soms makkelijker. Daarnaast is mijn ervaring met klanten dat zolang je ze een standaard verwerkersovereenkomst voorstelt een groot deel akkoord gaat. Bij ons zien we verder hoe groter de klant hoe minder vragen er over komen.

  3. het is inderdaad vaak ongelooflijk veel theoretisch geneuzel waarvan de verwerker zelf ook geen idee heeft wat er nou precies mee wordt bedoeld (technisch adequaat, etc.). enorm tijdrovend en bovendien ook vrij saaie kost. ik ken geen regelgeving die zo veel werk doet verzetten met zo weinig nut.

  4. Ik blijf het interessant vinden, dat een aantal partijen de aansprakelijkheid (m.n. AP-boete) willen ontduiken. (Lijkt alsof ik een nieuwe Tesla koop, daar als bestuurder een ongeluk mee krijg, wat aan een fout in de software blijkt te liggen en Tesla zegt, dat de aansprakelijkheid daarvoor bij hen tot 10.000 euro gemaximeerd is, omdat de auto niet zo duur is.)

    Als je daar als verwerker en verwerkingsverantwoordelijke dan niet uit kunt of wilt komen, is het moeilijk om een verwerkersovereenkomst te sluiten, die dan wel weer wettelijk verplicht is. Zeker in het geval van een monopoliepositie van een verwerker is dit een probleem waar AP en ACM vooreerst niet een goed antwoord op hebben.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.