Vaak heeft een verwerkersovereenkomst geen waarde

Meestal komt dat, doordat de AVG slaafs wordt gevolgd, zonder zelf even na te denken. In de AVG staat dus dat de verwerkingsverantwoordelijke een overeenkomst moet sluiten met de verwerker. Veelal zien we de verwerkingsverantwoordelijken zelf met die overeenkomst komen en de bewerker vragen om deze te tekenen, in de veronderstelling dat daarmee alles is geregeld en dat de verwerker de boete krijgt als hij een stommiteit uithaalt. Maar zo simpel is het helaas niet.

Waarom besteed je gegevensverwerking uit?

Ga eerst eens bij jezelf na, waarom je ooit hebt besloten om verwerkingen uit te besteden. De reden hiervoor is toch, dat de partij aan wie je de gegevensverwerking uitbesteedt, gegevensverwerking als core business heeft en daardoor de schaalgrootte en expertise om dit beter en goedkoper te kunnen dan jijzelf. Uiteraard heeft je leverancier dit proces gestandaardiseerd en de beschrijving ervan vastgelegd in een contract of een SLA. Hierin staat vermeld wat hij precies doet en onder welke condities. Dat is nodig, want als de gestandaardiseerde processen zouden worden doorbroken, zouden de kosten aanzienlijk stijgen. Het zou absurd zijn, dat je, vanwege de AVG, nu ineens als klant zelf met een verwerkersovereenkomst moet komen. Dan komen alle klanten natuurlijk met een eigen versie en eigen beveiligingseisen, waardoor ook inbreuk gemaakt wordt op de standaardisatie van de leverancier. Het is ook best wel arrogant om te denken dat jij meer verstand zou hebben van het uitbestede proces  dan de leverancier, die zich hier dagelijks mee bezighoudt.  En je mag er tevens vanuit gaan, dat de leverancier zorgvuldig omgaat met de persoonsgegevens van zijn klanten. Hij weet immers, dat als de persoonsgegevens van een klant op straat komen te liggen, meerdere klanten waarschijnlijk weg zullen lopen en ook dat hij voorlopig niet hoeft te rekenen op nieuwe klanten. 
Kortom, de verwerkersovereenkomst is een bijlage bij de bestaande overeenkomst en wordt opgesteld door de leverancier. In de praktijk is het vaak een uitbreiding van de bestaande voorwaarden van de leverancier.

Verwerkingsverantwoordelijke blijft vaak aansprakelijk

Vaak is er bij het afsluiten van een verwerkersovereenkomst gedoe over de aansprakelijkheid. Hierover is de AVG echter heel duidelijk. Volgens de AVG is er alleen sprake van een geldige verwerkersovereenkomst, en is dus de verwerker verantwoordelijk, als de naleving van die overeenkomst gecontroleerd wordt. Die controle kan de verwerkingsverantwoordelijke doen. In de praktijk echter zien we dit zelden gebeuren. Want natuurlijk zit de verwerkingsverantwoordelijke hier niet op te wachten. Maar ook de verwerker wordt niet blij van al die controles van verschillende verwerkingsverantwoordelijken. En als die controle niet plaatsvindt, krijgt nog steeds de verwerkingsverantwoordelijke de boete van de Autoriteit Persoonsgegevens (AP) als de verwerker wat stoms uithaalt. Dat in de verwerkersovereenkomst staat, dat de verwerker aansprakelijk is, doet dan niet ter zake. In de wet staat dat de verwerkingsverantwoordelijke aansprakelijk is en als er weliswaar een overeenkomst is, maar geen geldige, dan houdt deze bij eventuele geschillen voor de rechter geen stand, ook al staat hier een handtekening onder. Dan geldt de wet.
In het vorige hoofdstuk hebben we al aangegeven, dat de verwerkersovereenkomst opgesteld moet worden door de verwerker. Die kan vervolgens jaarlijks eenmalig de naleving van de overeenkomst onafhankelijk laten toetsen. Daarmee is de verwerkingsverantwoordelijke gedekt. De verwerkersovereenkomst is dan geldig en de verwerkingsverantwoordelijke voldoet aan de eis van de AVG, dat hij alleen in zee mag gaan met leveranciers die garanties kunnen geven over een veilige verwerking van de gegevens. Dan ook kan de verwerker aansprakelijk gesteld worden voor boetes en andere schade.

Een ISO 27001 certificaat vrijwaart ook de verwerker

Natuurlijk heeft ook een verwerker er geen zin in boetes betalen. Maar die kunnen op eenvoudige wijze worden voorkomen door een weg te bewandelen die zeker al honderden dienstverleners hebben bewandeld. En niet voor niets.
Als er een inbreuk wordt gemaakt op de beveiliging van de verwerker, dan kan dit voor de AP reden zijn een onderzoek te starten. Een incident alleen is geen reden om een boete op te leggen. Bij een incident gaat de AP onderzoeken of de verwerker ‘in control is’ en of de verwerker zijn beveiliging op orde heeft. De verwerker moet dit kunnen aantonen. Hij is schuldig tot hij het tegendeel bewijst. En hoewel de meeste dienstverleners hun zaakjes goed op orde hebben, is het probleem vaak, dat zij dit niet kunnen bewijzen.

De eenvoudigste methode om dit goed te regelen is het behalen van een ISO 27001 certificaat. Wanneer een verwerker dat certificaat heeft, is dat het bewijs dat hij in control is en dat hij zijn beveiliging op orde heeft. Wanneer dat het geval is, loop je ook als verwerker geen risico, een boete te krijgen.

Voor dienstverleners is het behalen van zo’n ISO 27001 of NEN 7510 certificaat tegenwoordig echt geen rocket science. Het kan in drie maanden tegen heel beperkte kosten en ook zonder dat er een papierwinkel of veel procedures voor nodig zijn. Met een certificaat geef je als verwerker je klanten zekerheid en ben je er zelf van verzekerd, dat je geen boetes krijgt voor stommiteiten. Omgekeerd is zo’n certificaat een reden om juist met jou als verwerker in zee te gaan. We zien dan ook, dat zo’n certificaat steeds vaker wordt geëist in aanbestedingen en offerteaanvragen.

Hoe komt een geldige verwerkersovereenkomst soepel tot stand?

Voor het soepel tot stand komen van een verwerkersovereenkomst, zorgt de verwerker (of sub-bewerker) er eerst voor, dat hij ISO 27001 of NEN 7510 gecertificeerd wordt. Vervolgens stelt hij een standaardverwerkersovereenkomst op, die hij voorlegt aan bestaande en nieuwe klanten als aanvulling op de bestaande overeenkomst. Als de verwerkingsverantwoordelijke hiervoor tekent en eenmalig de verklaring van toepasselijkheid (behorend bij het certificaat) opvraagt, waarin exact staat aan welke beveiligingseisen de verwerker voldoet, is hij gedekt en kan hij dat tevens bewijzen. De naleving door de verwerker wordt jaarlijks getoetst door de ISO 27001 of NEN 7510 auditor, zodat de verwerkingsverantwoordelijke daar ook geen omkijken meer naar heeft.

Kortom, door gebruik te maken van bestaande mechanismen, kunnen de verwerkingsverantwoordelijke en de verwerker zich veel rompslomp besparen en kan de aandacht zich richten op de kern van de samenwerking: de kwaliteit van de dienst die door de verwerker geleverd wordt aan zijn klant.

Als een verwerker nu nog niet voldoet aan de certificatie-eis, maar als hij wel van plan is om dit te doen binnen bijvoorbeeld een half jaar, dan kan de verantwoordelijk hier genoegen mee nemen, mits hij dit wel vastlegt als een tijdelijk en dus acceptabel risico. En dan kan de verwerkersovereenkomst best nog een half jaartje wachten.