Een lezer vroeg me:
Met enige regelmaat kom ik verwerkers tegen die de elementen van een verwerkersovereenkomst hebben ‘verstopt’ in de algemene voorwaarden. Dit kan toch niet zomaar? Het gaat hier om een document waar de verwerker volledige controle op heeft en kan/mag aanpassen naar wens. Mijns inziens is dan de grip van de verantwoordelijke zo goed als verdwenen en schieten we compleet de plank mis. Klopt dat?De verwerkersovereenkomst is een raar ding, dat veel aandacht onder de AVG heeft gekregen. Het probleem is een beetje dat het eigenlijk gaat om een set afspraken “hoe houden we ons samen aan de AVG”, maar dat in de wet het opgeschreven is als “schrijf in een document op hoe je je samen aan de AVG gaat houden”.
Een van de rare uitvloeisels daarvan is dat iedereen op zijn eigen manier de verwerkersafspraken vastlegt. Zoals ook hier bij de vraagsteller. Zoek je de verwerkersovereenkomst, staat die in de algemene voorwaarden. Soms wel netjes als apart hoofdstuk, soms als apart genummerd artikel 17, maar soms moet je echt de bepalingen bij elkaar sprokkelen.
Is dat fout? Nee, niet perse. De AVG eist alleen dat je de afspraken schriftelijk vastlegt, niet dat het in één document gebeurt, of zelfs maar dat je dit “Verwerkersovereenkomst” noemt. Er is dus niets mis met je verwerkersafspraken verdelen over offerte, SLA en algemene voorwaarden. Althans, niet meer dan wat er gewóón mis is met afspraken verdelen over allerlei documenten, namelijk dat je dan een rommeltje krijgt. Maar als dat werkbaar genoeg is, dan is dat juridisch prima.
Blijft over het punt dat een verwerker zo heel eenzijdig kan contracteren, en zelfs (via het AV-wijzigingsbeding, dat er wel in moet staan natuurlijk) de verwerkersbepalingen kan bijschaven als dat nodig blijkt te zijn. Ik geef toe, dat is raar – maar menig verwerkingsverantwoordelijke doet precies hetzelfde wanneer ze hun “standaard voorwaarden” opsturen en verwachten dat de verwerker zonder problemen tekent.
De juridische theorie verlangt dat de partijen samen gaan zitten, hun aandachtspunten voor de verwerking nalopen en bespreken, en de uitkomst van die bespreking netjes gezamenlijk vastleggen. In de praktijk zie vaak dat een partij dicteert hoe het zal zijn, en de ander maar tekent om er vanaf te zijn (denk ik dan maar). Ook dat kan dus niet. Je moet het onderling afstemmen, klopt dit, is dit hoe wij willen werken. Maar veel organisaties kunnen daar niet goed mee omgaan.
Vanuit dat gezichtspunt is het wel begrijpelijk dat een grote verwerker zegt, ik schrijf op hoe ik werk en daar hebben ze het mee te doen. Dat is dan maar de second-best optie, en aangenomen dat de klant dan nog adequaat inzicht krijgt in wat er gebeurt en de verwerker niet elke dag alles helemaal om mag gooien, lijkt me dat in ieder geval binnen de geest van de AVG.
Arnoud
Het illustreert weer dat de wetgever geen idee had hoe de online wereld echt werkt, en nog in dat ouderwetse paradigma van uitbesteding zat toen dit werd opgeschreven. Als je een generieke dienst levert, wat zo’n beetje de hele online wereld doet, valt er niets te bespreken. De dienst en de condities liggen vast voor alle klanten, die klant heeft niets in te brengen, er wordt niets onderhandeld of besproken. Daar is nog steeds geen oplossing voor.
De AVG heeft impact op de ordening en inhoud van de HELE set overeenkomsten: AV, overeenkomst van opdracht (voorafgegaan door een deugdelijke en degelijke offerte, en opdrachtbevestiging), verwerkersovereenkomst (statisch) EN SLA (dynamisch). In een SLA kan worden bijgestuurd, omdat daar de details op hun plaats zijn!
En als je dan ook nog netjes Europees moet aanbesteden, dan moet je de inschrijvers vergelijkbaar cq. gelijkwaardig beoordelen. Dat dwingt je ertoe dat je de (concept) verwerkersovereenkomst oplegt aan de inschrijvende partijen. Samen zitten om tot goede afspraken te komen moet theoretisch juridisch in de formele vragenrondes, maar dat zal niet meevallen. Je moet immers alle partijen gelijkwaardig behandelen.