Antwoord: de overeenkomst is het product van hokjesdenkers
Al vroeg in mijn korte, maar krachtige carrière als privacy professional heb ik geleerd dat de verwerkersovereenkomst de heilige graal is van het compliance-denken onder de AVG. Bij elke vorm van gegevensuitwisseling moesten die dingen worden opgesteld en door zoveel mogelijk mensen ondertekend. Vaak was de verwerkersovereenkomst een administratief sluitstuk: de samenwerking is rond, we gaan gegevens uitwisselen, laten we nog gauw even de gekopieerde wettekst van artikel 28 AVG ondertekenen en dan zit dat ook weer snor.
Ik wijdde het aan de nieuwigheid van het hele concept. Nog even los van dat een vorm van overeenkomst onder de Wbp ook al verplicht kon zijn, maar voor best veel mensen begon privacy pas bij de AVG. Ondertussen zitten we al een aantal jaar met de overeenkomst opgescheept en ik zie eerlijk gezegd nog weinig veranderen in hoe ermee wordt omgegaan.
Nog steeds wordt het gezien als een compliance-vinkje. Een document waar we geen zinnige aandacht aan besteden, maar dat we opstellen omdat onze best wel dure jurist vindt dat het moet (van de AVG). En omdat het moet van de AVG, doen we het ook zoals we het lezen in de AVG.
De AVG als uitgangspunt
Het probleem komt volgens mij voort uit het feit dat mensen AVG-compliance als uitgangspunt nemen bij gegevensuitwisselingen. Bekijk de volgende twee uitgangspunten:
- werken volgens de normen en waarden die de AVG tot doel heeft
- werken om aan de normen en waarden uit de AVG te voldoen
Het is een subtiel, maar allesbepalend verschil. Bij het eerste uitgangspunt probeer je gegevensverwerkingen op een zorgvuldigheidsniveau te brengen dat de Europese wetgever via de AVG probeert te bereiken. Je focus ligt dus op zorgvuldig werken, op de gegevensverwerking. Je streeft hetzelfde doel na als de wetgever. Bij het tweede uitgangspunt ben je het doel uit het oog verloren en zit je gewoon vakjes af te vinken om aan een wet te voldoen. Je focust niet meer op de verwerking, maar op de wet.
Dit is de kern van zo veel problemen die je als privacy-professional in de praktijk tegenkomt. Compliance moet niet het uitgangspunt zijn. Zorgvuldige gegevensverwerking moet het uitgangspunt zijn. Ben je goed opgeleid als privacy-professional en streef je daadwerkelijk naar zorgvuldige verwerkingen? Dan ben je per ongeluk vanzelf compliant. Of je faalt op detailniveau, maar dat valt altijd wel te repareren.
Laten we de discussie over verwerkersovereenkomsten eens vanuit deze twee uitgangspunten bekijken. Ik noem ze vanaf nu het zorgvuldigheidsuitgangspunt en het compliance-uitgangspunt.
Verwerkersovereenkomsten vanuit het compliance-uitgangspunt
Verwerkersovereenkomsten worden vanuit compliance ongeveer zo aangevlogen:
- Er vindt een gegevensuitwisseling plaats of er is een plan om dat op touw te zetten.
- Dan zal er wel een verwerker zijn. Er zijn bijna nooit meerdere zelfstandig verantwoordelijken en aan dat vage artikel van gezamenlijke verantwoordelijkheid gaan we helemaal niet beginnen.
- De ontvanger zal de verwerker wel zijn.
- Gegevensuitwisseling twee richtingen op? Error. Dan is degene die geen verantwoordelijkheid durft te nemen de verwerker.
- We maken een document, we noemen het verwerkersovereenkomst en we plakken de tekst uit artikel 28 lid 3 AVG erin. Of we zetten het in eigen woorden neer, maar op hetzelfde detailniveau, waardoor er geen enkele praktische of zinnige werkafspraak wordt gemaakt.
OF
- Er vindt een gegevensuitwisseling plaats, of er is een plan om dat op touw te zetten;
- Hey, we stellen vast dat er geen verwerker is. Iedereen is zelf verwerkingsverantwoordelijke. Hoera, de AVG zegt hier niets over, afspraken zijn niet verplicht! Dat betekent dat we compliant zijn, hier houdt het verhaal op. Wow AVG-en is echt makkelijk.
Het uitgangspunt zelf is fout, maar het brengt ook allerlei praktische gevolgen met zich mee die contraproductief zijn. Door op de bovenstaande manier te werken, maak je het jezelf vaak moeilijker om aan de AVG te voldoen.
Het fundamentele probleem van het compliance-uitgangspunt
De denkfout is dat we beginnen met het plaatsen van de betrokken partijen in de hokjes van verwerkingsverantwoordelijke of verwerker. Maar in onze oneindig complexe digitale wereld, passen veel gegevensuitwisselingen en de betrokken partijen niet zo simpel in die hokjes. Natuurlijk zijn er tekstboek-verwerkers. Maar bij de samenwerkingen waar privacy-professionals moeten meekijken naar de onderlinge afspraken, ligt het vaak complexer. Een samenwerkingsverband is simpelweg vaak niet een kwestie van twee partijen, waarbij één voor de volle honderd procent karakteristieken van verwerkingsverantwoordelijke heeft en de ander voor de volle honderd procent die van verwerker. En ook als er wél een duidelijke verwerker is, is dat vaak een tech-gigant die een dienst sec aanbiedt, waarbij de verantwoordelijke amper invloed kan uitoefenen op de dienst. Als er dan ook nog eens sprake is van marktmonopolie of vendor lock-in, welke invloed heeft dat dan op het bepalen van doel en middelen? En op de verwerkingen ‘volgens schriftelijke instructies van de verwerkingsverantwoordelijke’?
Sowieso zijn er vaak meer dan twee partijen betrokken, met allemaal een eigen mate van invloedssfeer en gegevensinvoer, die ook nog wel eens met de tijd kan fluctueren. Door de AVG als uitgangspunt te nemen, ga je proberen om die complexe vormen met geweld in een versimpeld compliance model te duwen. Nu mag je raden welk effect dat heeft op je daadwerkelijke compliance.
Het compliance-uitgangspunt in de praktijk
In de praktijk kom ik, als een organisatie uitgaat van compliance, deze opties het vaakst tegen:
Optie 1
Je maakt een documentje dat netjes de vereisten uit artikel 28 lid 3 AVG naloopt (lees: kopieert). De meeste privacy-professionals zullen de standaard verwerkersovereenkomst wel kennen. Partijen spreken op papier af:
- ‘De verwerker verwerkt de gegevens alleen volgens instructies van de verwerkingsverantwoordelijke.
- De verwerker meldt een datalek binnen … uur aan de verantwoordelijke en doet er alles aan om de verantwoordelijke te helpen bij het afhandelen;
- De verwerker doet netjes al het andere dat verplicht is volgens de AVG;
- Oh en de verwerker is ook sowieso veilig genoeg qua systemen enzo;
- Hoewel we hierboven al afspraken dat de verwerker niets doet dan wat letterlijk en schriftelijk is opgedragen, vindt de verwerker het toch belangrijk om nog even af te spreken dat ze voor geen cent aansprakelijkheid aanvaardt voor haar acties.
Leuk, dan hebben we de AVG nagepraat. Maar wat hebben we nu echt afgesproken? Ik ben nog niet vaak een set daadwerkelijke werkafspraken tegengekomen die ook helpen invulling te geven aan wat de wet verplicht stelt.
Optie 2
We konden geen verwerker identificeren, dus er zijn geen afspraken nodig. Voor de AVG klopt dat, maar geldt dat ook in de praktijk?
Verwerkersovereenkomsten vanuit het zorgvuldigheidsuitgangspunt
Als je uitgaat van zorgvuldigheid draai je het om. Je kijkt éérst naar de praktijk. Dat ziet er bijvoorbeeld zo uit:
In het geval van een datalek, wie belt wie? Wie zijn de contactpersonen en zijn zij wel of niet buiten kantooruren bereikbaar? Het woord datalek is trouwens een volksbegrip, in de AVG heet het een beveiligingsincident. Daar valt bijvoorbeeld de uitval van het systeem ook onder. Dat hoeft de verwerker niet te melden, dat heeft de verantwoordelijke zelf ook wel door. Maar goed, mag de verantwoordelijke dan ook iemand bellen? Wie dan? En mag de verantwoordelijke de verwerker ook bellen als zij zelf een datalek vermoeden bij de verwerker, bijvoorbeeld na een klacht of nieuwsbericht? Over nieuws gesproken, moeten we iets afspreken over perswoordvoering? Naar welk loket stuurt de verwerker een betrokkene die probeert rechten uit te oefenen? Is daar een specifiek e-mailadres voor? Wat zijn eigenlijk de specifieke schriftelijke instructies voor de verwerking? Ik bedoel, de hoofdovereenkomst omschrijft de dienst, maar heeft de verantwoordelijke echt duidelijk op het netvlies hoe de verwerker gegevens gaat verwerken? Kan de verantwoordelijke daar überhaupt invloed op uitoefenen? Zo nee, welke gevolgen heeft dat voor het contract hierboven dat juist stelt dat de verantwoordelijke dat wel kan?
Ik denk dat mijn punt wel duidelijk is. Het gaat niet om afvinken wat de AVG vraagt. Het gaat erom dat je nadenkt over welke gevolgen de gegevensuitwisselingen kan hebben voor zowel de partijen als de betrokkenen, en dat je afspraken maakt die ervoor zorgen dat alle partijen de zekere en eventuele gevolgen onder controle hebben. Je weet wel, een beetje wat het doel is van een afspraak.
Als er geen verwerker geïdentificeerd kan worden
Als er geen verwerker geïdentificeerd kan worden, geeft de AVG geen lijstje met verplichte afspraken. Maar wat mij betreft zijn de helft tot driekwart van de bovenstaande afspraken ook hartstikke relevant bij andere constructen. En andere afspraken, die niet verplicht zijn volgens de AVG, worden juist relevanter. Bijvoorbeeld de vraag hoe je met verwijderverzoeken om wilt gaan. Volgens artikel 19 AVG moet je alle ontvangers van persoonsgegevens in kennis stellen over verwijderingen, beperkingen en rectificaties die je op verzoek van de betrokkene uitvoert. Hoe ga je daarmee om in een gedeelde databank waar iedereen lokaal uittreksels van gebruikt en ook gegevens terug aanlevert? Komt iemand die verwijderd is uit de centrale bank niet de hele tijd terug vanuit de lokale uittreksels? Hoe fijn is het als je hier van tevoren afspraken over hebt gemaakt, in plaats van dat je een houtje-touwtje oplossing moet bedenken op het moment dat iemand daadwerkelijk verwijdering of rectificatie zoekt. (Tip van een ervaringsdeskundige: meestal komen de verzoeken pas als de betrokkene al gepikeerd is of om een andere reden uit je systeem wil. Houtje-touwtje oplossingen helpen je vaak niet om die mensen tevreden te stellen).
Ook hier zie je het verschil. Compliance denkt: ‘AVG zegt niets, dus wij doen niets’. Zorgvuldigheid denkt: ‘we gaan hier een complexe samenwerking tegemoet, laten we eens bekijken wat handige afspraken zijn zodat iedereen weet waar zij aan toe zijn’.
Conclusie
Ik heb al eerder geschreven dat ik vind dat privacy-professionals zich te veel op de AVG richten als doel op zich. Hoe er met verwerkersovereenkomsten wordt omgegaan is wat mij betreft één van de meest prangende voorbeelden hiervan. Ik raad echt iedereen die persoonsgegevens verstrekt, uitwisselt, of op een andere manier deelt met andere partijen aan om te stoppen met starten bij de AVG. Ga gewoon eens met de andere partij om tafel zitten, spreek je plannen door en gebruik je boerenverstand. Wat wil je nu eigenlijk allemaal gaan doen en bereiken? Wat zijn daarbij handige afspraken?
Heb je al die afspraken op papier? Pak dan de AVG er eens bij. Verhip, je zult zien dat je 80% van de dingen die je bedacht hebt terugleest in de wet. Er staat ook nog 15% aan logische dingen die je vergeten bent. Fijn dat er een geheugensteuntje bestaat. En 5% van wat die wet van je vraagt slaat nergens op. Sorry, het blijft een wet. Toch doen. Anders ben je niet compliant en krijg je een boete.