Het ondergeschoven kindje de verwerkersovereenkomst

Helaas toch nog vaak het sluitstuk

Een van de tien stappen die de Autoriteit Persoonsgegevens destijds formuleerde om tot implementatie van de AVG te komen, was het sluiten van verwerkersovereenkomsten.  Inmiddels kunnen veel verwerkingsverantwoordelijken (hierna kortheidshalve ‘organisaties’ genoemd) daar een vinkje bij zetten. Achterstanden met betrekking tot nog niet gesloten verwerkersovereenkomsten zijn ingelopen[1]  en ten onrechte gesloten verwerkersovereenkomsten[2] zijn omgezet in bijvoorbeeld ‘gezamenlijke verwerkingsverantwoordelijken-overeenkomsten’ of dataleveringsovereenkomsten.

Toch wordt de verwerkersovereenkomst helaas ook nog vaak als het sluitstuk van het inkooptraject of van een project gezien. Deze is bijvoorbeeld nog niet gesloten terwijl dat voor de hoofdovereenkomst wel geldt, en soms zijn verwerkingen zelfs al begonnen voordat de verwerkersovereenkomst is ondertekend. Het probleem in beide gevallen is dat dan niet zeker is of conform artikel 28 lid 1 AVG de verwerker ook daadwerkelijk afdoende garanties voor een veilig verwerking van de persoonsgegevens biedt. Deze gang van zaken is vanuit het primaire proces wel begrijpelijk, maar het is, het moet gezegd, ook kortzichtig. Onderdeel van de totale dienstverlening of het product van een leverancier is immers ook het waarborgen van de bescherming van de persoonsgegevens van de betrokkenen, juist wanneer de verwerking door een derde plaatsvindt. Het recente datalek bij leverancier en verwerker Nebu van het marketingonderzoeksbureau Blauw illustreert dat weer.[3]

Vendor lock in

Dat de organisatie hierdoor ook juridische risico’s loopt is uiteraard al sinds de inwerkingtreding van de AVG bekend en heeft er mede voor gezorgd dat men werk heeft gemaakt van het alsnog sluiten van de benodigde verwerkingsovereenkomsten[4]. Hier wijs ik op een meer praktisch-juridisch risico.

Als de hoofdovereenkomst al is gesloten, dan zitten de onderhandelaars bij de verwerkersovereenkomst feitelijk in een vendor lock in. Daarom kan het sluiten van de verwerkersovereenkomst het beste in directe samenhang met de hoofdovereenkomst gebeuren. En is dat niet mogelijk, dan dient de hoofdovereenkomst in ieder geval – standaard – een ontbindende voorwaarde met betrekking tot de totstandkoming van de verwerkersovereenkomst te bevatten en een opschortende voorwaarde met betrekking tot de verwerkingen zelf.

Het enkel sluiten van verwerkersovereenkomsten is niet voldoende

Maar ook wanneer organisaties het sluiten van verwerkersovereenkomsten wel op orde hebben, bestaat de kans dat zij daarmee nog steeds niet conform artikel 32 AVG voldoende organisatorische maatregelen hebben getroffen om met betrekking tot de persoonsgegevens die bij de verwerker onder handen zijn ‘een op het risico afgestemd beveiligingsniveau te waarborgen’.

In de eerste plaats moet ervoor worden gewaakt dat de verwerkersovereenkomsten papieren tijgers worden en in strijd met de AVG – zie artikel 28, lid 3 sub c AVG – niet zorgen voor het daadwerkelijk veilig verwerken van persoonsgegevens door verwerkers. Er zal dus op effectieve wijze aan contract- en aan leveranciersmanagement moeten worden gedaan.

In de tweede plaats denk ik dat voor veel organisaties geldt dat de hoeveelheid persoonsgegevens die door al hun verwerkers en sub(sub)(etc.)verwerkers tezamen wordt verwerkt, het aantal persoonsgegevens dat intern, binnen de (elektronische) muren van de eigen organisatie wordt verwerkt, al snel overtreft. Dat gegeven op zichzelf vormt een risico dat het noodzakelijk maakt om ook het totale bestand aan (beoogde[5]) verwerkers en verwerkersovereenkomsten in hun samenhang te managen. Er zal een totaaloverzicht van verwerkers en verwerkingen moeten zijn waarbij duidelijk is waar (bij welke leveranciers) er in meerdere dan wel mindere mate risico’s worden gelopen. Daarbij is een actueel verwerkingsregister behulpzaam, maar daarnaast is een contractmanagement- en vooral een centraal opslagsysteem vaak onontbeerlijk om de verwerkingen en de daaraan verbonden risico’s en de treffen beveiligingsmaatregelen meer in detail te kunnen bezien en te vergelijken. Op basis van het totaaloverzicht zullen leveranciers risicogestuurd moeten worden benaderd om nader inzicht in hun werkwijze en beveiliging te verkrijgen en eventueel vervolgens gemaand om aanvullende maatregelen te treffen. Wordt daar niet genoegzaam aan voldaan dan zal het contract tijdig moeten worden opgezegd.  Het moge duidelijk dat in organisaties waar er geen contractmanagement en (centraal) -opslagsysteem is, het voorgaande niet goed mogelijk is, zodat daar geen grip kan ontstaan op de grote hoeveelheid gegevens die door derden wordt verwerkt en de daaraan verbonden risico’s.

Contract- en leveranciersmanagement, verplichtingen die uit de AVG voortvloeien

Het verrichten van contract- en leveranciersmanagement op het vlak van privacy en informatiebeveiliging is een tijdrovende klus waarin C(ISO)’s, privacy officers, Inkoop, bedrijfsjuristen en de FG samen zullen moeten optrekken. Het is ook aan te bevelen, voor zover dat mededingingsrechtelijk mogelijk is, de lasten van het leveranciersmanagement, het nader onderzoeken/ auditen van leveranciers, ook met andere branchepartijen die van dezelfde verwerkers diensten of producten betrekken, te delen. Maar hoe dan ook, contractmanagement in aansluiting op het sluiten van verwerkingsovereenkomsten is mijns inziens onontkoombaar om de effectiviteit van de daarin opgenomen beveiligingsmaatregelen te garanderen. En voor organisaties die een groot deel van de verwerkingen van ‘hun’ persoonsgegevens bij verwerkers hebben neergelegd, geldt dat ook voor het leveranciersmanagement. Het staat organisaties vrij om de niet-nakoming door een leverancier van de hoofdovereenkomst te accepteren, maar in geval van niet-nakoming van een verwerkersovereenkomst zal de verwerkingsverantwoordelijke daar met behulp van contract- en leveranciersmanagement bovenop moeten zitten.[6] Alleen dan neemt de verwerkingsverantwoordelijke ten aanzien van het door verwerkers laten verwerken van de ‘eigen persoonsgegevens’ conform de AVG ‘passende organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen’.

Mocht u nog vragen hebben, dan kunt u natuurlijk altijd telefonisch (06-43279065) of per e-mail (irma.smeding@lexdigitalis.nl) contact met mij opnemen.

[1] Waarbij wellicht de modelverwerkersovereenkomst van de Europese commissie wordt gebruikt, zie   https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en. Anderzijds hanteren veel organisaties vaak (verplicht) het model van eigen brancheorganisatie.

[2] Zie hierover mijn collega Sippe van der Tas in https://www.lexdigitalis.nl/verwerkersovereenkomst-sluiten-of-niet/ .

[3] https://nos.nl/artikel/2469510-datalek-nederlandse-bedrijven-steeds-groter-zeker-2-miljoen-klanten-getroffen

[4] Regeling in ‘een’ overeenkomst is de norm op grond van artikel 28 lid 1 AVG. Dat kan in een aparte verwerkersovereenkomst plaatsvinden, maar bijvoorbeeld ook onderdeel vormen van de hoofdovereenkomst.

[5] Privacy by design brengt met zich mee dat reeds in het inkooptraject duidelijkheid wordt gevraagd en ontstaat over het afdoende garanties voor een veilige verwerking door de (beoogde) verwerker.

[6] Contract- en leveranciersmanagement zal dan ook, voor zover dat nog niet het geval is, in de privacyplannen opgenomen moeten worden.