Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 35 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het iemand laten tekenen van een verwerkersovereenkomst is iets dat je kunt doen om AVG compliance aan te tonen, dus zullen er verwerkersovereenkomsten worden getekend. Tegen beter weten in dan ook vandaag, wanneer is iemand nou een verwerker?

De positie van een verwerker onder de AVG is in theorie heel simpel. Dat is een partij die door de verantwoordelijke is ingeschakeld om bepaalde dingen te doen met persoonsgegevens. De verantwoordelijk bepaalt daarbij wat er uiteindelijk moet gebeuren en hoe (“doel en middelen”, in de AVG terminologie), zij het dat de verwerker wel enige ruimte heeft om dit praktisch in te vullen.

Een simpel voorbeeld van een verwerker is een clouddienstverlener die jouw klantgegevens online opslaat. Jij kiest voor die clouddienst en welke gegevens je daar opslaat, de praktische invulling daarvan laat je aan de dienstverlener. Die is dus een verwerker. Géén verwerker is een clouddienst zoals Facebook, omdat die zelf bepaalt welke gegevens ze willen hebben en wat ze daarmee doen.

Natuurlijk zit je vaak met grijze gevallen. Zo’n clouddienst kan die klantgegevens gebruiken voor eigen “kwaliteitsdoeleinden”, of zelfs reclameprofielen opbouwen van die klanten en daar gerichte reclame aan tonen. Dan verschuift die dienstverlener van een zuivere verwerker toch meer richting een eigen verantwoordelijkheid. Er zijn helaas niet echt harde regels om hier een algemene scheidslijn in te trekken.

Ik heb een tijdje terug een advieswizard gemaakt die probeert met een aantal vragen een inschatting te maken. Dat werkt beter dan vage passages zoals in de Handleiding AVG van de Rijksoverheid, met daarin

Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.

Hierdoor gaan mensen dus denken dat een clouddienstverlener of IT-supportbedrijf geen verwerker is omdat het gebruik van persoonsgegevens een “uitvloeisel” is van de echte opdracht. Er is niet één vuistregel, één formule om dit te bepalen. Je moet kijken naar alle factoren bij elkaar, en zo inschatten hoe veel eigen ruimte de dienstverlener heeft om te bepalen wat hij doet.

In ieder geval sluit je géén verwerkersovereenkomst met

  1. Je personeel. Die zijn immers gewoon deel van je eigen organisatie.
  2. Je vrijwilligers en ingehuurde krachten. Die vallen onder het kopje “personen onder gezag” van jouw organisatie en zijn dus geen verwerkers.
  3. De personen wiens persoonsgegevens je verwerkt. Ja, dit wordt geëist.
  4. Bedrijven die contactgegevens van jouw personeel in hun CRM systeem stoppen. Dat doen ze immers voor hun eigen bedrijfsvoering.

Overigens zou de verwerkersovereenkomst eigenlijk afgeschaft moeten worden, maar dat een andere keer.

Arnoud