Een lezer vroeg e:
Ik ben een klein ict-bedrijfje dat onderhoud en apparatuur levert aan het mkb. Steeds vaker krijg ik verwerkersovereenkomsten onder mijn neus, en na even wat gesnuffeld te hebben aan de AVG vraag ik me af, bén ik eigenlijk wel verwerker voor al die klanten? Ik hoor het ook van branchegenoten dat ze standaard bij iedereen een verwerkersovereenkomst moeten tekenen. Waarom doet iedereen dat?
Dat doet iedereen omdat iedereen het doet en omdat het een zichtbare AVG-compliance actie is. “Dan hebben we het maar geregeld, en als iemand een keer geen verwerker is dan is de overeenkomst toch meteen van tafel”, aldus een bedrijfsjurist die ik tegenover me had bij zo’n ict-bedrijf.
Allereerst is er veel verwarring over het begrip ‘verwerker’. Omdat ‘verwerken’ een standaardbegrip is uit de AVG, denk ik dat een hele zwik ondernemers meent dat je een verwerkersovereenkomst moet tekenen als je iemand opdracht geeft om te gaan verwerken. Dat is natuurlijk onjuist: alleen als je opdrachtnemer kwalificeert als verwerker, is zo’n ding nodig. In veel meer gevallen dan mensen denken, is je opdrachtnemer verwerkingsverantwoordelijke (en, ik zeg het maar even, dan dus géén verwerker).
Ten tweede weten veel mensen niet wanneer iemand verwerker is, of wil men geen risico lopen en wordt de wederpartij maar even tot verwerker gebombardeerd. En ik geef toe, dit is ook een lastige. De kortdoordebochtomschrijvingen (de populairste “je verwerkt persoonsgegevens in het kader van een opdracht”) hebben altijd afbakeningsproblemen, en de wettelijke omschrijvingen en uitleg daarvan van de toezichthouders en hun Comité zijn zo vaag dat je er niet mee kunt werken.
Verwerkerschap is een afweging van factoren. Mijn algemene vuistregel is dat je eigenlijk werk uitvoert dat de ander (de verantwoordelijke) net zo goed zelf zou kunnen doen. Ik heb een boekhouder, maar ik kan ook een accountantskantoor inhuren voor de administratie. Ik heb een mailserver, ik kan ook een Office 365 dienstverlener inschakelen. Dan is de partij die je het werk laat overnemen, je verwerker.
Het lastige is dat een partij die werk voor je overneemt, dat ook kan doen zonder verwerker te zijn. Bij een administratiekantoor is dat wat lastig denkbaar, maar zo’n Office-dienstverlener kan zelf besluiten de dienstverlening aan te passen of andere beslissingen te nemen over de dataverwerking. Dat is in strijd met verwerker zijn. En veel ict-dienstverleners komen in zo’n grijs gebied terecht; ze verwerken andermans data maar nemen zelf beslissingen over hoe ze dat doen.
Het is goed mogelijk dat je na analyse tot de conclusie komt dat de dienstverlener toch verwerker is. Maar dan heb je er dus over nagedacht en wel samen met je dienstverlener. Heel wat anders dan met de inkoopvoorwaarden een verwerkersovereenkomst meesturen en eisen dat die even wordt getekend voor de compliance. En dat is volgens mij wat er vaak gebeurt.
Arnoud