Onderhandelen over verwerkersovereenkomsten, wie heeft er tegenwoordig nog nooit met dit bijltje hoeven hakken? Helaas iedereen wel zo’n beetje. Denk je dat je er met de commerciële afspraken bent, moet de verwerkersovereenkomst ook nog. Is het nu echt nodig om zo veel te onderhandelen? Het antwoord is nee. In de Algemene Verordening Gegevensbescherming (AVG) is namelijk precies vastgelegd wat er moet worden afgesproken in een verwerkersovereenkomst, en wat de verantwoordelijkheden van partijen zijn. Echter, loopt het in de praktijk toch vaak niet zo soepel. Dit komt veelal door de keuzevrijheid die de AVG laat, voor de inrichting van de verwerkers-overeenkomst en doordat men vaak (stiekem) meer probeert te regelen dan wettelijk verplicht. Hieronder vijf tips om veel voorkomende onderhandelpunten te voorkomen.
Daar beginnen we al. In een van de eerste artikelen uit de verwerkersovereenkomst worden definities gehanteerd die breder zijn dan, of afwijkend van hetgeen dat in de AVG staat. Dat creëert verwarring en maakt dat er discussie kan ontstaan, want volgen we de wet of wat we afspreken? Hoe voorkom je dit? Simpel: verwijs voor definities zo veel mogelijk naar de relevante artikelen uit de AVG. Dan weten we ook allemaal wat ermee bedoeld wordt. Definieer daarnaast alleen wat niet uit de wet blijkt. Noemen we de commerciële afspraken nu bijvoorbeeld ‘Hoofdovereenkomst’ of ‘Overeenkomst’ en wat gaat er qua verwerkingen nu plaatsvinden?
De verwerkingsverantwoordelijke moet algemene of specifieke toestemming geven aan de verwerker voor het inschakelen van sub-verwerkers. Laten we bij het maken van de keuze hierin met z’n allen wat meer de redelijkheid opzoeken. Het is voor een grote ICT-dienstverlener met bijvoorbeeld 3.000 klanten niet werkbaar om van iedere klant, voordat er een nieuwe leverancier wordt toegevoegd, specifieke toestemming te vragen. Als één klant niet reageert, ligt de hele boel stil. Daarnaast kan ik me ook voorstellen dat je wel met specifieke toestemming wilt werken wanneer je als verwerkingsverantwoordelijke 5.000 medische dossiers hebt die ergens tijdelijk worden gehost.
Dus wat is redelijk als je kijkt naar de dienstverlening die wordt afgenomen en de gegevens die er zullen worden verwerkt? Maak op basis daarvan de keuze tussen algemene/specifieke toestemming, in plaats van wat vanuit jouw rol het meest ideaal lijkt. Dat scheelt een hoop onderhandelen.
Qua beveiliging mag er wel wat expertise worden verwacht van de verwerkers op ICT-gebied. Dit is immers van deze bedrijven veelal hun expertise. Aan de andere kant moet je ook geen wonderen verwachten. Zelfs de meest ‘passende’ beveiligingsmaatregelen zullen niet altijd doeltreffend zijn. Niet alles in het leven is immers te voorkomen. Baseer hier dus ook de afspraken op, en wees daarnaast duidelijk in wat er van de verwerker verwacht gaat worden. Wil je als verwerker inzage geven in je beveiligingsmaatregelen, geef dan ook echt concrete inzage en benoem niet enkel vage maatregelen. Daar schiet niemand iets mee op. En wanneer beide partijen het prima vinden dit onderwerp geheel aan de expertise van de verwerker over te laten, spreek dan gewoon af dat de verwerker ‘passende technische en organisatorische maatregelen’ zal nemen.
Als verwerkingsverantwoordelijke mag je onder de AVG controleren of de verwerker zijn afspraken uit de verwerkersovereenkomst nakomt door een audit uit te (laten) voeren. Dit is natuurlijk een goed iets, alleen kan een onbeperkt auditrecht voor een verwerker nogal verlammend werken. Als alle klanten om de beurt op de stoep staan om de boel eens goed onder de loep te nemen, wordt de dagelijkse bedrijfsvoering van de verwerker namelijk nogal verstoord. En hier hebben ook andere klanten weer last van. Daarentegen, als je als verwerkingsverantwoordelijke het idee hebt dat je verwerker zich niet aan de afspraken houdt, wil je wel kunnen controleren en ingrijpen. Hoe zoek je hier nu meer de redelijkheid in op?
Het is niet verplicht om in een verwerkersovereenkomst afspraken te maken over aansprakelijkheid. Er wordt immers ook al een hoop geregeld hierover in de AVG. Toch vliegen de vrijwaringen, boeteclausules en onbeperkte aansprakelijkheden je vaak om de oren. Op zich prettig natuurlijk om alles juridisch goed af te dichten en in te perken.
Echter, het risico bestaat dat je het in onderhandelingen uiteindelijk alleen nog maar hebt over wie de boetes van de toezichthouder moet gaan betalen in plaats van over hetgeen waar de verwerkersovereenkomst echt voor bedoeld is, namelijk het regelen van een zorgvuldige omgang met persoonsgegevens. Mocht je dat nou niet meer willen, zijn er een aantal opties die discussie vaak verminderen: 1) sluit aan qua aansprakelijkheid bij de afspraken uit de hoofdovereenkomst, daar zijn immers ook ooit de prijsafspraken op gebaseerd; of 2) sluit aan bij de wet, en neem er helemaal niks over op.
Andere tips of ideeën om onderhandelingen over verwerkersovereenkomsten te verminderen zijn meer dan welkom!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.