Wordt er nou iemand blij van al die verwerkersovereenkomsten, behalve de advocaten en juristen die er hun brood mee verdienen? In het beste geval levert het een prachtig dataregister op, met in één oogopslag alle getekende verwerkersovereenkomsten, die ook nog aan de wet voldoen. In de praktijk zien we echter vaak dat er altijd een lijstje is met ‘nog te sluiten’ en ander achterstallig onderhoud. En dan zijn er nog die vermoeiende onderhandelingen. De dienstverlening is in sommige gevallen al lang en breed begonnen, terwijl de juristen nog conceptversies heen en weer sturen van de verwerkersovereenkomst. Hoe moeten we de verwerkersovereenkomst nou beschouwen? Is het een ‘gewone’ overeenkomst waarin afspraken worden vastgelegd, met een paar wettelijke eisen, of is het sluiten van een verwerkersovereenkomst een vak apart? We bekijken de verwerkersovereenkomst eens vanuit twee extreme, tegengestelde standpunten.
Hoe komt de verwerkersovereenkomst tot stand?
Verwerkersovereenkomsten komen niet uit de lucht vallen. Vrijwel altijd heeft in ieder geval één van beide partijen al een standaard, die men graag integraal van toepassing verklaart. Deze kan door de eigen jurist zijn opgesteld, waarbij de belangen zoveel mogelijk worden gediend. Ook zijn er in veel branches standaarden opgesteld. Zo is er in de medische wereld de Brancheorganisaties Zorg (BOZ)-standaard en in het onderwijs het Privacyconvenant.
Dan barst in de meeste gevallen de onderhandeling los. Een aantal punten lenen zich daarbij meer voor onderhandelingen dan anderen: zo is vertrouwelijkheid van de gegevens een basisvereiste. Beveiligingseisen, subverwerkers en audits worden vaak juist de langdurige twistpunten. En dan is er natuurlijk nog de aansprakelijkheidsbeperking.
Ach, die verwerkersovereenkomst is net als elk ander contract
De verwerkersovereenkomst is natuurlijk een AVG-verplichting. De inhoud is ook nog eens grotendeels vaste prik, zoals afspraken over datalekken, beveiliging en de auditmogelijkheid. Maar juist over de vrij in te vullen afspraken kan de menselijke maat worden gehanteerd. Er zijn twee partijen met hun eigen belangen, die bij elkaar moeten zien te komen. Punten als audits, beveiligingseisen en (natuurlijk) aansprakelijkheidsbeperkingen, kunnen allen worden ‘versimpeld’ tot een financieel risico.
Daarom kan een verwerkersovereenkomst prima worden behandeld als een gewone overeenkomst. Je zet de juristen tegenover elkaar en laat ze het onderhandelspel spelen. Daarbij spelen de machtsverhoudingen een rol, de grote multinational zal vaak meer eisen kunnen stellen dan de kleine mkb’er. Partijen scoren zoveel mogelijk punten bij elkaar en het eindresultaat verdwijnt in de la. Tot er een incident plaatsvindt natuurlijk.
Nee hoor, de verwerkersovereenkomst is een vak apart
Dan nu het andere uiterste, of liever: de nuance. Iedereen met onderhandel-ervaring rondom verwerkersovereenkomsten heeft het meegemaakt: de meldingstermijn voor datalekken moet maal twee en de aansprakelijkheidsbeperking moet gedeeld door tien. Zo pingpong je een aantal keren heen en weer, tot er een middenweg is gevonden. Die hele onderhandeling gaat vaak voorbij aan het uiteindelijke doel van de overeenkomst. De rol van de verwerkersovereenkomst is om af te spreken hoe de persoonsgegevens passend beschermd zullen worden. Natuurlijk hebben partijen daarbij hun eigen belangen, maar de verwerkingsverantwoordelijke en verwerker dienen ook samen het privacybelang, zoals de Algemene Verordening Gegevensbescherming (AVG) voorschrijft. Het is daarom belangrijk dat er met een privacy-blik wordt gekeken naar de afspraken, niet alleen met een juristenblik.
Een andere valkuil is dat de losse afspraken in verwerkersovereenkomsten op geen enkele manier worden geborgd in de rest van het privacybeleid. Alle energie die je steekt in het verlengen van de meldingsduur van een overeenkomst, kan ook worden gestoken in het opstellen van een gedegen procedure.
Kortom, trek gerust een blik juristen open als dat leidt tot snelle, goede resultaten. Maar verlies daarbij het grotere belang van de verwerkersovereenkomst niet uit het oog. Papieren die in een la verdwijnen voegen niets toe aan de veiligheid van gegevens, ook al zijn ze tot in de puntjes uitonderhandeld. Richt je op de belangrijke zaken en zet de papieren werkelijkheid om in tastbare gegevensbescherming. Zo worden echt alle partijen er beter van.