Column


IT-jurist Peter van Schelven over...

Complete contracteergekte

Een organisatie die de opslag en verdere verwerking van persoonsgegevens aan een ander uitbesteedt, moet met die partij zogeheten verwerkersafspraken maken. De Europese privacyregels uit de Algemene verordening gegevensbescherming (AVG) schrijven dat uitdrukkelijk voor. Die verplichting speelt bijvoorbeeld wanneer je gebruikmaakt van een hostingpartij of SaaS-provider.

De AVG heeft een enorme impuls gegeven aan het sluiten van verwerkerscontracten. In vrijwel alle sectoren van de samenleving houdt men zich driftig bezig met dit juridische verschijnsel. Onontkoombaar, want het gaat om een onwrikbare eis. De juridische beroepsgroep spint er garen bij. Jan en alleman uit de wereld van de juristerij promoot deze contracten daar waar dat maar mogelijk is. Nederland is inmiddels overspoeld met verwerkerscontracten.

Goedbedoelde instrumenten?
In theorie zijn die contracten goedbedoelde instrumenten om een zorgvuldige omgang met persoonsgegevens te waarborgen. Als goed opdrachtgever maak je immers passende afspraken over de security van het datacenter van de provider die je hebt geselecteerd. Je verbiedt in het contract bovendien dat de gegevens die je aan een provider toevertrouwt, gebruikt gaan worden voor de eigen bedrijfsdoeleinden van die provider, bijvoorbeeld een eigen marketingactie.

De provider moet - eenvoudig gezegd - met zijn vingers van de persoonsgegevens afblijven. Ook lijkt het zinvol om de provider contractueel te verplichten datalekken stipt aan jou als belanghebbende te melden. Dat klinkt allemaal logisch, dus een verwerkerscontract zal kennelijk best wel ergens goed voor zijn. Zo lijkt het althans.

Toch durf ik de stelling wel aan dat verwerkerscontracten dikwijls meer kwaad dan goed doen. Het gaat hier om een uit de kluiten gewassen verschijnsel dat bijdraagt aan een weerzinwekkende juridisering van zakelijke verhoudingen. Ik word er bepaald niet vrolijk van, ook al gebiedt de eerlijkheid te zeggen dat ook ik wat centen in die sfeer verdien. De praktische problemen rondom verwerkerscontracten zijn eenvoudigweg te groot om dit fenomeen met warmte te omarmen.

Complete nonsens
Zo zien we dat veel bedrijven en organisaties van al hun samenwerkingspartners verlangen dat zij een verwerkerscontract aangaan, terwijl dat juridisch complete nonsens is. Zo’n contract is pas nodig als jouw wederpartij een zogeheten ‘verwerker’ in de zin van de AVG is, maar daarbuiten in beginsel niet.

Ik ben er stellig van overtuigd dat talloze bedrijven en organisaties een verwerkerscontract in hun maag gesplitst krijgen zonder dat daar een goede juridische grondslag voor is. Maar blijkbaar is de gedachte bij velen: better safe than sorry. Daarmee is inmiddels een verstikkende contracteergekte ontstaan. Leuk voor de portemonnee van juridisch adviseurs, maar irritant, frustrerend en duur voor menig bedrijf en organisatie.

Voor een deel valt die praktijk te verklaren uit het vage, complexe en multi-interpreteerbare begrip ‘verwerker’ uit de AVG, een ander deel uit het onvermogen van veel managers om weerstand te bieden aan de toverpraktijken van spelers uit de wereld van wet en recht. De ene na de andere verwerkersovereenkomst wordt uit de hoge hoed getoverd.

Intellectuele eigendom
Een ander punt van zorg is dat opdrachtgevers in hun verwerkerscontracten dikwijls zaken proberen te regelen die werkelijk nul komma nul met de AVG te maken hebben. Een voorbeeld daarvan zijn de verwerkerscontracten die een regeling bevatten over de intellectuele eigendom die op een databestand met persoonsgegevens rust.

De AVG heeft niets van doen met het intellectueel eigendomsrecht, maar feit is dat verwerkerscontracten soms worden aangegrepen om ook nog zaken in die sfeer naar de hand te zetten. Als opdrachtgever regel je zoiets idealiter in een ICT-dienstencontract, niet in een verwerkerscontract.

Nog een issue. Verwerkerscontracten worden niet alleen gesloten om de zorgvuldige omgang met data te waarborgen, maar vaak ook om verwerkers op te zadelen met zware financiële risico’s. Bijvoorbeeld door middel van krankzinnige garanties (zoals 100 procent sluitende security) en forse boeteregelingen. Verwerkerscontracten worden daarmee instrumenten om risico’s over te hevelen. Met de bescherming van persoonsgegevens heeft dat als zodanig weinig te maken. Onze privacy wordt door dergelijke risicoregelingen niet wezenlijk versterkt.

Verziekende regeling
De regeling in de AVG over verwerkers en verwerkerscontracten is een feit. Die kunnen we dus niet negeren. Zou ik het voor het zeggen hebben, dan zou deze verziekende regeling compleet op de schop moeten. Weg met al die onzinnige verwerkerscontracten! Weg met die contracteergekte!

Ik vermoed zo dat die droom gedurende mijn leven echter geen juridische werkelijkheid gaat worden. Ook u moet daar rekening mee houden. We moeten er mee zien te schipperen… Tegen wil en dank.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.  

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over