Column


IT-jurist Peter van Schelven over...

Ontzorgen of belasten?

Wie het verwerken van gegevens aan een ander uitbesteedt, doet dat doorgaans om ontzorgd te worden. Zo berekent een salarisadministratiebureau met gebruikmaking van gespecialiseerde software makkelijk, snel en zorgvuldig welk nettoloon bij een bepaald brutoloon hoort. Een werkgever geeft die administratie daarom graag uit handen. En een geavanceerd hostingbedrijf levert ‘storagediensten’ die doorgaans meer bedrijfszekerheid bieden dan wanneer je als organisatie zelf data op een eigen IT-infrastructuur opslaat.

Ontzorgen is dus een belangrijke reden om de opslag en andere vormen van verwerking van gegevens uit te besteden. Snelheid, kostenreductie, bedrijfszekerheid, deskundigheid van de externe dienstverlener en versterking van de kwaliteit van de IT zijn voor veel opdrachtgevers belangrijke overwegingen om met externe dienstverleners in zee te gaan. Echter, de behoefte aan ontzorgen blijkt niet zelden te worden doorkruist door pijnlijke contractpraktijken waar de Algemene verordening gegevensbescherming (AVG) debet aan is.

Passende security?
Zoals inmiddels bekend mag worden verondersteld, is de inschakeling van een externe verwerker van persoonsgegevens alleen toegestaan als de opdrachtgever en verwerker een verwerkersovereenkomst hebben gesloten. We kunnen de grachten van Amsterdam inmiddels dempen met dergelijke contracten. Door de komst van de AVG zijn die contracten de laatste maanden over vrijwel alle organisaties uitgestort.

Verwerkerscontracten regelen veelal niet alleen de zorgvuldige omgang met persoonsgegevens, zij zijn ook steeds vaker instrumenten om technische en financiële risico’s op het bordje van een der contractspartijen te leggen. Dat zien we ook op het vlak van security. Een voorbeeldje. De securitybepaling in verwerkerscontracten bevatten soms de volgende clausule: “Opdrachtgever erkent dat de door de verwerker op grond van deze verwerkersovereenkomst te treffen maatregelen passende technische en organisatorische maatregelen zijn als bedoeld in artikel 32 van de AVG.”

Wat staat daar nou precies? Hier lezen we dat de vraag of de securitymaatregelen van de externe verwerker toereikend zijn, bottomline door de opdrachtgever beoordeeld moet worden. Anders gezegd: een opdrachtgever komt door deze bepaling met lege handen te staan als later onverhoopt mocht blijken dat de systemen van de verwerker zo lek als een mandje zijn. Schade en andere nadelige gevolgen vanwege benedenmaatse security worden met zo’n clausule bij de opdrachtgever neergelegd.

Voor uw goede begrip: de AVG legt op de schouders van verwerkers weliswaar een zelfstandige verplichting tot het treffen van passende security, maar die regels staan het niet in de weg om de nadelige gevolgen van gebrekkige security contractueel naar de opdrachtgever te verschuiven. Met zo’n clausule worden opdrachtgevers feitelijk opgezadeld met een toets of de security van de verwerker deugt. Veel opdrachtgevers kunnen dat niet, door gebrek aan securitykennis. Van ontzorgen is dan geen sprake meer.

Bandbreedte?
Waarom doen verwerkers dit in hun contracten? Zoals gezegd moeten bedrijven en organisaties volgens de AVG met het oog op de bescherming van de privacy van personen ‘passende technische en organisatorische maatregelen’ treffen. Maar wat is nou precies ‘passend’? Het antwoord op die vraag hangt af van een pallet van factoren, zoals de risico’s die verbonden zijn aan de verwerking van de betrokken persoonsgegevens, de kosten van maatregelen en ‘de stand van de techniek’.

Deze open formulering van de securityverplichting in de AVG laat veel ruimte voor een eigen invulling. Er is dus geen harde eenduidige securitynorm, maar een regel die zich kenmerkt door een zekere bandbreedte. Er is dus al snel discussie mogelijk over de grenzen van deze bandbreedte. Wat de één passend vindt, is naar het oordeel van een ander namelijk niet passend. Verwerkers willen – begrijpelijkerwijs – niet de dupe worden van die onzekerheid. Om die reden trachten veel verwerkers zich te beschermen door in het contract de opdrachtgever te laten uitspreken dat de security toereikend is. Dat is een contractuele erkenning. Eenmaal gegeven gaat zo’n erkenning juridisch niet snel van tafel, bijzondere situaties daargelaten.

Het moge duidelijk zijn: krap je als opdrachtgever drie keer achter de oren voordat je een contractuele erkenning afgeeft. Je komt van een koude kermis thuis als de security van de verwerker de toets der kritiek niet kan doorstaan. Je belast je bovendien met een securitytoets die je vermoedelijk niet of niet goed kan uitvoeren.

Lees meer over