Wie met verwerkersovereenkomsten smijt, snapt niets van de AVG

Het is mijn verjaardag en dan mag ik even wat korter door de bocht dan normaal zijn: wie met verwerkersovereenkomsten gooit, snapt niets van de AVG. Een beetje een standaardverhaal opdringen aan je leveranciers, gewoon omdat het voor de compliance moet en zonder enige overweging wat je nu echt aan het afspreken bent. Kom nou toch.

De verwerkersovereenkomst is een raar ding in contractenland, en niet alleen omdat ‘ie de verkeerde naam heeft (huurderscontract? arbeidersovereenkomst? hypotheekgeverscontract?). De voornaamste reden is dat hij vrijwel altijd verkeerd wordt ingezet en ondertussen een heel onderhandelproces ernstig kan frustreren of zelfs tegenwerken. Daarom roep ik al tijden dat we ermee moeten stoppen. Maar ja, het moet van de AVG hè, dat document.

Eh, nee. Als je de AVG er bij pakt dan zie je dat je inderdaad verplicht bent bindende afspraken met je verwerkers te maken over wat ze gaan doen en hoe ze daarbij jou moeten helpen AVG compliant te blijven. Dat is ooit (in Wbp-tijd) praktisch uitgewerkt met het instrument van de bewerkersovereenkomst, wat niet zo raar was in een tijd dat er vaak zonder schriftelijk contract (hooguit een offerte, misschien algemene voorwaarden) diensten werden geleverd. Tegenwoordig is dat natuurlijk allang niet meer zo.

Toch blijven veel mensen het ding op tafel leggen als er een dienstcontract moet worden gesloten. Dat is dan meestal “de template” met als je mazzel hebt een bijlage 1 die ongeveer beschrijft wat er gebeurt in de hoofdovereenkomst. Maar de werkelijke verwerkersbepalingen zijn generiek – vrijwel altijd omdat ze de AVG klakkeloos overpennen met wat standaardfrases er omheen.

Daar heb je dus niets aan. De reden is simpel: de AVG eist dat je régelt dat je verwerker zich aan die eisen uit de wet houdt, en dat kan alleen door maatwerkafspraken te maken. Of in ieder geval door concreet te zeggen wát bijvoorbeeld die “adequate beveiliging” is die je keurig overpent uit artikel 32 AVG. Niet door enkel te zeggen dat verwerker zulks garandeert en verwerkingsverantwoordelijke dienaangaande vrijwaart. Dat is jezelf er lui van afmaken, niet willen nagaan wat de verwerker echt doet en denken dat een contractuele aansprakelijkheid of boete achteraf goed genoeg is naar je betrokkenen toe. Nee. Je moet voorkomen dat er dingen misgaat. Dáár zijn die verwerkersafspraken voor.

Dit is waarom ik al een hele tijd pleit voor verwerkersbepalingen in de hoofdovereenkomst. Bevestig dat het security incident protocol ook opgaat bij datalekken. Leg vast dat inzageverzoeken óók door de helpdesk worden opgepakt maar dat mensen geen geld gerekend wordt. En schrijf letterlijk op dat de security policy uit bijlage 3 door partijen als adequaat wordt gezien – met herzieningsprocedure natuurlijk. Durf je dat niet? Dan ga je dus in zee met een verwerker waarvan je niet durft te zeggen of ‘ie adequaat beveiligd is.

En oké, dat kan ook prima als een apart document. Dan houd je dat sausje dat je “een verwerkersovereenkomst” hebt, zodat je in je compliance rapport kunt zeggen dat je met al je verwerkers overeenkomsten hebt. Maar wat je dan dus hebt, is een document dat in elk artikel zegt waar die afspraken staan over inzagerechten, waarom de beveiliging adequaat is enzovoorts. Dan is het eigenlijk een checklist dat je echte contract aan de AVG voldoet, in plaats van een dubbeloptekst met vage frases.

Arnoud
PS: beetje laat, sorry Dick

7 reacties

  1. Er zijn nog genoeg zaken die zonder losse contracten op papier gaan. Zelf werk ik in de hosting sector en daar zie je vaak genoeg dat er wel naar algemene voorwaarden wordt verwezen, maar verder geen handtekeningen worden gezet. Soms zie je nog iets van een automatisch gegenereerd contract, maar meer ook niet. Dat zal mede komen door de relatief beperkte bedragen waar het vaak om gaat. Vaak gaat het om minder dan 500 euro per jaar en dan wil je niet te veel papierwerk. Ervaring leert dat het vaak goed gaat en waar het niet goed gaat hadden papieren contracten met handtekeningen meestal ook niet gewerkt.

    Hoe wil je daar dit soort maatwerk doen?

  2. Eens. Als iemand tegen je zegt: “Maar dat moet van de AVG!” vraag dan vriendelijk of ze het betreffende artikel in de AVG even willen voorlezen. Als ze zo’n artikel überhaupt al kunnen vinden, blijkt bijna altijd dat het er toch nét iets anders staat. (En van harte, Arnoud!)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.