Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

| AE 10913 | Ondernemingsvrijheid, Privacy | 5 reacties

Een lezer vroeg me:

Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)

Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En “volgens ons is het legaal, doe het!!1!” is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.

Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.

Arnoud