Column


IT-jurist Peter van Schelven over...

IBD presenteert zwak verwerkerscontract

Wie de opslag of verdere verwerking van persoonsgegevens aan een dienstverlener uitbesteedt, moet volgens de Algemene verordening gegevensbescherming (AVG) met dat bedrijf een verwerkersovereenkomst aangaan. Dat geldt ook voor gemeenten die gebruikmaken van bijvoorbeeld hostingdiensten van een externe organisatie. De Informatiebeveiligingsdienst (IBD) heeft met het oog op die verplichting een nieuw model voor een verwerkerscontract gepubliceerd.

Met deze modelovereenkomst wil de IBD, die zo’n vijf jaar terug op initiatief van alle Nederlandse gemeenten is opgericht en die thans is ondergebracht bij VNG Realisatie, het voor gemeenten en hun dienstverleners makkelijk maken om te voldoen aan de eisen die de privacywetgeving stelt. Het modelcontract – tamelijk pretentieus neergezet als een ‘standaard’ – moet het maken van contractuele afspraken faciliteren.

Anders dan andere beschikbare modelcontracten wenst IBD, aldus de bij het modelcontract behorende toelichting, de nadruk niet op de juridische aspecten te leggen, maar meer op de ‘praktische’ kanten van privacy en informatiebeveiliging. Dat sluit aan bij de gedachte dat het modelcontract vooral gebruikt moet gaan worden door bijvoorbeeld het gemeentelijke management, gemeentelijke inkopers, privacyfunctionarissen en informatiebeveiligers.

Juridische flauwekul
Kijk ik naar het modelcontract, dan dringt zich bij mij slechts één gedachte op: een stuk dat zwaar onder de maat is en voor leveranciers financieel onzeker en risicovol is. Sterker nog, in de toelichting bij het modelcontract valt zelfs evidente juridische onzin te lezen. Het bevat op onderdelen juridische flauwekul die ook voor gemeenten zelf slecht uitpakt. De opstellers scoren een stevige onvoldoende.

Dat wordt niet anders door het feit dat, zoals in de toelichting genoemd wordt, bij het maken van het document ook leveranciers uit de IT-sector zijn geraadpleegd. Wat dat laatste betreft maakt het document overigens niet duidelijk welke IT-dienstverleners precies zijn geconsulteerd en of daar bijvoorbeeld ook de grote en prominente aanbieders van de gemeentelijke software bij waren. Ik waag ernstig te betwijfelen of het stuk op draagvlak onder alle leveranciers kan rekenen.

Verplicht gebruik?
Dat brengt mij bij een eerste bezwaar rondom het IBD-modelcontract. Op de site van IBD valt te lezen: “Gemeenten en leveranciers zijn in principe verplicht gebruik te maken van deze standaard. Als partijen dat niet doen, of wijzigingen in de standaard aanbrengen, moeten zij gemotiveerd vastleggen waarom zij de standaard niet gebruiken, dan wel daarvan afwijken.” 

Het uitgangspunt dat het gebruik van het model verplicht is, is juridisch baarlijke nonsens. De AVG stelt weliswaar enkele inhoudelijke eisen aan verwerkersafspraken, maar nergens valt in de wetgeving een regel te vinden die zegt dat het IBD-model gehanteerd moet worden.

Sterker nog, het is ook voor gemeenten even legitiem en legaal als de uitbesteding van dataverwerking gebeurt met gebruikmaking van een door de leverancier of de koepelorganisatie van leveranciers opgesteld modelcontract. De door de IBD geponeerde verplichting is niet veel meer dan een verzinsel waaraan juridische geldigheid ontbreekt. Gemeenten mogen het modelcontract desgewenst probleemloos naast zich neerleggen.

Teruggave van data?
En dan de inhoudelijke bezwaren rondom het verwerkerscontract van IBD? Laat ik er hier slechts twee noemen. Om te beginnen zou het verstandig zijn als de opstellers nog eens een inleidend lesje faillissementsrecht volgen.

Ik schrik ervan als ik in de handleiding lees: “Op ieder moment dat de verwerkingsverantwoordelijke de persoonsgegevens terug wil hebben, moet de verwerker hier aan meewerken. Ook in het geval een verwerker failliet wordt verklaard, vallen de persoonsgegevens niet in de failliete boedel en moeten de gegevens meteen worden teruggegeven aan de verwerkingsverantwoordelijke. “

De vraag of de curator van een failliete verwerker actief moet meewerken aan de teruggave van data wordt bepaald door het faillissementsrecht en de daarop gebaseerde jurisprudentie. Het antwoord op die vraag is heel eenvoudig: zo’n actieve verplichting tot teruggave heeft de curator eenvoudigweg niet. De IBD lijkt niet bekend te zijn met die regel.

Een gemeente die wil voorkomen dat zij bij een faillissement van de verwerker met lege handen komt te staan, moet daarom niet op de IBD-teksten vertrouwen, maar moet daarvoor beschermende voorzieningen treffen, bijvoorbeeld in de vorm van het regelen van een data-escrow. Het stuk van de IBD zet gemeenten op dit punt volkomen op het verkeerde been en daarmee ondermijnt de IBD de ongestoorde beschikbaarheid van gemeentelijke data. Bedenkelijke insteek!

Financiële risico’s
Een tweede inhoudelijk bezwaar. Wie draagt de financiële gevolgen als de toezichthouder, de Autoriteit Persoonsgegevens, een eventuele bestuurlijke boete uitdeelt: gemeente, dienstverlener of wellicht allebei voor een deel? Een goed verwerkerscontract geeft daarvoor een paar basale spelregels. In het IBD-modelcontract ontbreken die en dat maakt het vanuit de optiek van financiële risico’s een zwak stuk.

Kortom, het IBD-modelcontract kan de toets der kritiek niet doorstaan. De makers ervan moeten echt nog eens terug naar de tekentafel.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

 

 

 

 

Lees meer over