image

Mag je onder de AVG verwerkersafspraken ook vastleggen in de algemene voorwaarden?

woensdag 6 april 2022, 10:32 door Arnoud Engelfriet, 12 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Met enige regelmaat kom ik verwerkers tegen die de elementen van een verwerkersovereenkomst hebben 'verstopt' in de algemene voorwaarden. Dit kan toch niet zomaar? Het gaat hier om een document waar de verwerker volledige controle op heeft en kan/mag aanpassen naar wens. Mijns inziens is dan de grip van de verantwoordelijke zo goed als verdwenen en schieten we compleet de plank mis. Klopt dat?

Antwoord: De verwerkersovereenkomst is een raar ding, dat veel aandacht onder de AVG heeft gekregen. Het probleem is een beetje dat het eigenlijk gaat om een set afspraken "hoe houden we ons samen aan de AVG", maar dat in de wet het opgeschreven is als "schrijf in een document op hoe je je samen aan de AVG gaat houden".

Een van de rare uitvloeisels daarvan is dat iedereen op zijn eigen manier de verwerkersafspraken vastlegt. Zoals ook hier bij de vraagsteller. Zoek je de verwerkersovereenkomst, staat die in de algemene voorwaarden. Soms wel netjes als apart hoofdstuk, soms als apart genummerd artikel 17, maar soms moet je echt de bepalingen bij elkaar sprokkelen.

Is dat fout? Nee, niet perse. De AVG eist alleen dat je de afspraken schriftelijk vastlegt, niet dat het in één document gebeurt, of zelfs maar dat je dit "Verwerkersovereenkomst" noemt. Er is dus niets mis met je verwerkersafspraken verdelen over offerte, SLA en algemene voorwaarden. Althans, niet meer dan wat er gewóón mis is met afspraken verdelen over allerlei documenten, namelijk dat je dan een rommeltje krijgt. Maar als dat werkbaar genoeg is, dan is dat juridisch prima.

Blijft over het punt dat een verwerker zo heel eenzijdig kan contracteren, en zelfs (via het AV-wijzigingsbeding, dat er wel in moet staan natuurlijk) de verwerkersbepalingen kan bijschaven als dat nodig blijkt te zijn. Ik geef toe, dat is raar - maar menig verwerkingsverantwoordelijke doet precies hetzelfde wanneer ze hun "standaard voorwaarden" opsturen en verwachten dat de verwerker zonder problemen tekent.

De juridische theorie verlangt dat de partijen samen gaan zitten, hun aandachtspunten voor de verwerking nalopen en bespreken, en de uitkomst van die bespreking netjes gezamenlijk vastleggen. In de praktijk zie vaak dat een partij dicteert hoe het zal zijn, en de ander maar tekent om er vanaf te zijn (denk ik dan maar). Ook dat kan dus niet. Je moet het onderling afstemmen, klopt dit, is dit hoe wij willen werken. Maar veel organisaties kunnen daar niet goed mee omgaan.

Vanuit dat gezichtspunt is het wel begrijpelijk dat een grote verwerker zegt, ik schrijf op hoe ik werk en daar hebben ze het mee te doen. Dat is dan maar de second-best optie, en aangenomen dat de klant dan nog adequaat inzicht krijgt in wat er gebeurt en de verwerker niet elke dag alles helemaal om mag gooien, lijkt me dat in ieder geval binnen de geest van de AVG.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
07-04-2022, 09:55 door Anoniem
Vooropgesteld dat de verwerker een goede set met afspraken heeft gemaakt (dat moet je dus controleren)
is het verstandig mee te doen met de afsprakenset van die verwerker.

Immers: als elke verantwoordelijke een eigen set afspraken oplegt, dan heeft die verwerker een behoorlijke klus om zich aantoonbaar aan al die afspraken te houden. Dat leidt dan bijna vanzelf tot
- veel duurdere dienstverlening
- veel grotere kans op fouten
En daar heeft dan uiteindelijk de verantwoordelijke weer last van.

Als een verwerker (op dit moment) geen goede afsprakenset heeft, dan zal een verantwoordelijke daar altijd ook last van krijgen.
Het duidt dan in ieder geval op dat de verwerker bereid is om zich in te dekken, de eigen verantwoordelijkheid zal afschuiven, wellicht later additionele kosten zal doorrekenen, etc.
Bij zo een verwerker wil je als verantwoordelijke maar beter weg blijven.
07-04-2022, 10:39 door Anoniem
Door Anoniem: Vooropgesteld dat de verwerker een goede set met afspraken heeft gemaakt (dat moet je dus controleren)
is het verstandig mee te doen met de afsprakenset van die verwerker.

...

Ik heb bij zo'n verwerker gewerkt. In het begin was er dan inderdaad een grote map waar je alle individuele afspraken in kon bekijken. Niet te doen.

In praktijk is het veel belangrijker dat men zich aan de geest van de wet houdt ("wat is beveiligd naar de stand van de techniek" zonder een advocaat erbij te halen, daadwerkelijk informeren van klanten), goede afspraken maakt (bijv. over wie de security contacten zijn bij de klant) en intern security goed op orde heeft (zoals beperken toegang en levenscyclus persoonsgegevens data).
07-04-2022, 11:15 door EersteEnigeEchte M.J. - EEEMJ
Arnoud Engelfriet: De juridische theorie verlangt dat de partijen samen gaan zitten, hun aandachtspunten voor de verwerking nalopen en bespreken, en de uitkomst van die bespreking netjes gezamenlijk vastleggen. In de praktijk zie vaak dat een partij dicteert hoe het zal zijn, en de ander maar tekent om er vanaf te zijn (denk ik dan maar). Ook dat kan dus niet. Je moet het onderling afstemmen, klopt dit, is dit hoe wij willen werken. Maar veel organisaties kunnen daar niet goed mee omgaan.

Vanuit dat gezichtspunt is het wel begrijpelijk dat een grote verwerker zegt, ik schrijf op hoe ik werk en daar hebben ze het mee te doen. Dat is dan maar de second-best optie, en aangenomen dat de klant dan nog adequaat inzicht krijgt in wat er gebeurt en de verwerker niet elke dag alles helemaal om mag gooien, lijkt me dat in ieder geval binnen de geest van de AVG.

Dit maakt duidelijk dat Engelfriet is toegetreden tot het gilde van advocaten van het uithollen van de AVG. Wat "de geest van de AVG" is, daar valt natuurlijk over te twisten, maar in ieder geval is duidelijk dat iets alleen in de geest is van de AVG als het bijdraagt aan het beschermen van gegevens en aan de kenbaarheid van de spelregels omtrent bescherming van gegevens - met name ook kenbaar voor de mensen om wiens persoonlijke gegevens het gaat. Daarom heet de AVG namelijk "Algemene Verordening Gegevensbescherming".

Een praktijk waarmee dit doel omzeild wordt, doordat een machtige verwerker (bijv. Google) dicteert dat de verwerker van alles met de verwerkte gegevens mag doen, terwijl de verwerkingsverantwoordelijke (bijv. een klein bedrijfje) zich daar niet tegen durft te verzetten, is natuurlijk niet in de geest van de AVG.

Zoals het nu gaat, bepaalt Google dat een persoon (in AVG-terminologie: een betrokkene) maar moet slikken dat er van alles met zijn persoonsgegevens wordt gedaan, omdat die persoon geen alternatief heeft omdat de betreffende dienst alleen geleverd wordt door bedrijven die allemaal zijn gedwongen om een handtekening te zetten onder de algemene voorwaarden die Google stelt.

Een verwerkingsverantwoordelijke heeft de plicht om persoonsgegevens van klanten goed te beschermen. Als een verwerkingsverantwoordelijke zich door de marktmacht van Google of een ander mega-bedrijf gedwongen voelt om Google (etc.) toestemming te verlenen om als verwerker die gegevens over de halve wereld te verspreiden (al dan niet in quasi-"geanonimiseerde" vorm), dan zijn de individuele personen om wiens persoonsgegevens dit gaat, natuurlijk helemaal niet in staat daar een stokje voor te steken.

Ik vind het pijnlijk dat een jurist als Engelfriet de normalisering van een dergelijke wantoestand promoot als zijnde acceptabel, want zogenaamd "in de geest van de AVG".

M.J.
07-04-2022, 11:38 door Bitje-scheef
Ik vind het pijnlijk dat een jurist als Engelfriet de normalisering van een dergelijke wantoestand promoot als zijnde acceptabel, want zogenaamd "in de geest van de AVG".

Ik neem het even op voor Engelfriet. Dit is gewoon theorie omgezet naar praktijk.
07-04-2022, 12:05 door Anoniem
Door Bitje-scheef:
Ik vind het pijnlijk dat een jurist als Engelfriet de normalisering van een dergelijke wantoestand promoot als zijnde acceptabel, want zogenaamd "in de geest van de AVG".

Ik neem het even op voor Engelfriet. Dit is gewoon theorie omgezet naar praktijk.

Welke theorie? En afkomstig van wie?
Dat had Engelfriet dan in ieder geval duidelijk moeten benoemen.
Hij had ook onderscheid moeten maken tussen die theorie en zijn eigen mening.
Hij had iets kunnen zeggen als: "Helaas voor mensen die hun persoonsgegevens goed beschermd zouden willen zien, staat de AVG toe dat Google als verwerker hun gegevens mag stofzuigeren, als je kijkt naar de uitspraken van rechters de afgelopen drie jaar, sinds de AVG van kracht is geworden."
Maar dat zei Engelfriet niet.
07-04-2022, 13:27 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: Een verwerkingsverantwoordelijke heeft de plicht om persoonsgegevens van klanten goed te beschermen. Als een verwerkingsverantwoordelijke zich door de marktmacht van Google of een ander mega-bedrijf gedwongen voelt om Google (etc.) toestemming te verlenen om als verwerker die gegevens over de halve wereld te verspreiden (al dan niet in quasi-"geanonimiseerde" vorm), dan zijn de individuele personen om wiens persoonsgegevens dit gaat, natuurlijk helemaal niet in staat daar een stokje voor te steken.

Ik vind het pijnlijk dat een jurist als Engelfriet de normalisering van een dergelijke wantoestand promoot als zijnde acceptabel, want zogenaamd "in de geest van de AVG".

M.J.

Best actueel, want: https://www.security.nl/posting/749373/EFF%3A+inperken+marktmacht+Big+Tech+vergroot+veiligheid+en+privacy+gebruikers
07-04-2022, 13:38 door Anoniem
Door Anoniem:
Door Bitje-scheef:
Ik vind het pijnlijk dat een jurist als Engelfriet de normalisering van een dergelijke wantoestand promoot als zijnde acceptabel, want zogenaamd "in de geest van de AVG".

Ik neem het even op voor Engelfriet. Dit is gewoon theorie omgezet naar praktijk.

Welke theorie? En afkomstig van wie?
Dat had Engelfriet dan in ieder geval duidelijk moeten benoemen.
Hij had ook onderscheid moeten maken tussen die theorie en zijn eigen mening.
Hij had iets kunnen zeggen als: "Helaas voor mensen die hun persoonsgegevens goed beschermd zouden willen zien, staat de AVG toe dat Google als verwerker hun gegevens mag stofzuigeren, als je kijkt naar de uitspraken van rechters de afgelopen drie jaar, sinds de AVG van kracht is geworden."
Maar dat zei Engelfriet niet.
De theorie zoals die in de wet geformuleerd en door jurisprudentie verder uitgewerkt is. En op deze plek toetst Engelfriet concrete casussen aan die theorie, zoals hij dat al jaren doet. Soms inclusief zijn persoonlijke mening, maar dat is niet het doel van de rubriek. De ervaren lezer weet overigens al lang dat Arnoud kritisch is op het vele data verzamelen door kleine en grote bedrijven.
07-04-2022, 13:38 door Anoniem
Hier de steller van de vraag. Dank Arnoud voor het oppakken van deze vraag.

De context van deze vraagstelling was nog nieteens vanuit de gedachte van de grote jongens zoals Microsoft en Google. Daarbij kan ik wel enige affiniteit opbrengen dat ze de zaken "creatief"/praktisch benaderen. Daarmee vel ik overigens geen oordeel of dat goed of slecht is; in de "geest van de wet".

Ik zie ook veel kleinere partijen met de tijd steeds creatiever worden waar ze hun verwerkersovereenkomst vastleggen. In essentie zit het probleem vermoedelijk bij veel verantwoordelijken die te weinig assertief zijn en hun verantwoordelijkheid niet pakken t.a.v. de AVG. Het resultaat is dat de verwerker het stokje oppakt en met de tijd, vanuit een kosten afweging vermoedelijk, steeds efficiënter met het onderwerp omgaat.

En daarbij komen we inderdaad bij de clou aan: is die efficiëntere manier nog in lijn met de "Geest van de wet"? Het doel dat we willen bereiken met de AVG is dat verwerkingsverantwoordelijke hun taak pakken, met alle bijbehorende zaken waaronder het afstemmen van de verwerking met hun verwerkers.
Laten we scherp blijven dat we dat doel blijven bereiken. Waar de afspraken dan ook staan.
07-04-2022, 16:39 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 07-04-2022, 16:47
Door Anoniem: Hier de steller van de vraag. Dank Arnoud voor het oppakken van deze vraag.

De context van deze vraagstelling was nog nieteens vanuit de gedachte van de grote jongens zoals Microsoft en Google. Daarbij kan ik wel enige affiniteit opbrengen dat ze de zaken "creatief"/praktisch benaderen. Daarmee vel ik overigens geen oordeel of dat goed of slecht is; in de "geest van de wet".

Ik heb de algemene voorwaarden die Google hanteerde bij een verwerkersovereenkomst wel eens gelezen. Google gaf zichzelf een vrijbrief om alles te doen wat het wilde met de gegevens. Van het type "loophole inside a loophole inside a loophole". Dat kun je "creatief", "praktisch" of "efficiënt" noemen, maar dan moet je de manier waarop een Russische oligarch zijn gestolen kapitaal via een familielid en drie geneste dochterondernemingen in belastingparadijzen op voormalige Britse eilanden stalt, ook "creatief", "praktisch" en "efficiënt" noemen. Anders dan jij, kan ik daarvoor geen affiniteit opbrengen, omdat ik affiniteit heb met de slachtoffers van de praktijken van zowel Big Tech als Russische oligarchen.

Ik zie ook veel kleinere partijen met de tijd steeds creatiever worden waar ze hun verwerkersovereenkomst vastleggen. In essentie zit het probleem vermoedelijk bij veel verantwoordelijken die te weinig assertief zijn en hun verantwoordelijkheid niet pakken t.a.v. de AVG. Het resultaat is dat de verwerker het stokje oppakt en met de tijd, vanuit een kosten afweging vermoedelijk, steeds efficiënter met het onderwerp omgaat.

Het probleem is dat de AVG niet of nauwelijks gehandhaafd wordt. Dan slaan verwerkingsverantwoordelijken en verwerkers gezamenlijk hun slag, ten koste van de mensen (de natuurlijke personen) wier persoonsgegevens worden buitgemaakt en verhandeld.

En daarbij komen we inderdaad bij de clou aan: is die efficiëntere manier nog in lijn met de "Geest van de wet"? Het doel dat we willen bereiken met de AVG is dat verwerkingsverantwoordelijke hun taak pakken, met alle bijbehorende zaken waaronder het afstemmen van de verwerking met hun verwerkers.
Laten we scherp blijven dat we dat doel blijven bereiken. Waar de afspraken dan ook staan.

Het doel van de AVG staat in artikel 1, tweede lid van de AVG: "Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens."

Het door jou genoemde doel is een subdoel daarvan, dat wil zeggen: een middel om het hoofddoel te bereiken. Laten we het werkelijke doel van de AVG scherp voor ogen blijven houden.

Met het oog op het echte doel van de AVG, is het via slinkse wegen buitmaken van persoonsgegevens helemaal niet efficiënt. Wat voor een roverbende "efficiënt" is, is niet "efficiënt" voor een legale onderneming die compliant wil zijn met de wet.

M.J.
08-04-2022, 13:17 door Anoniem
Het doel van de AVG staat in artikel 1, tweede lid van de AVG: "Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens."

Het door jou genoemde doel is een subdoel daarvan, dat wil zeggen: een middel om het hoofddoel te bereiken. Laten we het werkelijke doel van de AVG scherp voor ogen blijven houden.

Met het oog op het echte doel van de AVG, is het via slinkse wegen buitmaken van persoonsgegevens helemaal niet efficiënt. Wat voor een roverbende "efficiënt" is, is niet "efficiënt" voor een legale onderneming die compliant wil zijn met de wet.

M.J.
Of iets efficiënt is, is inderdaad altijd afhankelijk van het doel dat men probeert te bereiken. Als een verwerkingsverantwoordelijke of een verwerker de privacy van natuurlijke personen wil beschermen, dan is het ingewikkeld maken en verstoppen van de spelregels in verschillende teksten inderdaad niet efficiënt.

Arnout Engelfriet: Vanuit dat gezichtspunt is het wel begrijpelijk dat een grote verwerker zegt, ik schrijf op hoe ik werk en daar hebben ze het mee te doen. Dat is dan maar de second-best optie, en aangenomen dat de klant dan nog adequaat inzicht krijgt in wat er gebeurt en de verwerker niet elke dag alles helemaal om mag gooien, lijkt me dat in ieder geval binnen de geest van de AVG.
Die aanname lijkt me tamelijk vergezocht. Zeker als je met "de klant" doelt op de eindgebruiker (de betrokkene, het datasubject).
08-04-2022, 15:17 door EersteEnigeEchte M.J. - EEEMJ
Door Anoniem:
Het doel van de AVG staat in artikel 1, tweede lid van de AVG: "Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens."

Het door jou genoemde doel is een subdoel daarvan, dat wil zeggen: een middel om het hoofddoel te bereiken. Laten we het werkelijke doel van de AVG scherp voor ogen blijven houden.

Met het oog op het echte doel van de AVG, is het via slinkse wegen buitmaken van persoonsgegevens helemaal niet efficiënt. Wat voor een roverbende "efficiënt" is, is niet "efficiënt" voor een legale onderneming die compliant wil zijn met de wet.

M.J.
Of iets efficiënt is, is inderdaad altijd afhankelijk van het doel dat men probeert te bereiken. Als een verwerkingsverantwoordelijke of een verwerker de privacy van natuurlijke personen wil beschermen, dan is het ingewikkeld maken en verstoppen van de spelregels in verschillende teksten inderdaad niet efficiënt.

Arnout Engelfriet: Vanuit dat gezichtspunt is het wel begrijpelijk dat een grote verwerker zegt, ik schrijf op hoe ik werk en daar hebben ze het mee te doen. Dat is dan maar de second-best optie, en aangenomen dat de klant dan nog adequaat inzicht krijgt in wat er gebeurt en de verwerker niet elke dag alles helemaal om mag gooien, lijkt me dat in ieder geval binnen de geest van de AVG.
Die aanname lijkt me tamelijk vergezocht. Zeker als je met "de klant" doelt op de eindgebruiker (de betrokkene, het datasubject).

Zoals hierboven al gemeld, heb ik een keer (ruim na de inwerkingtreding van de AVG) de algemene voorwaarden van Google bekeken. Google was daar een subverwerker van een verwerker van een organisatie (de verwerkingsverantwoordelijke) die klantgegevens registreerde. De algemene voorwaarden van Google waren in juridisch Engels gesteld. Ik weet wel zeker dat de verwerkingsverantwoordelijke niet in staat was die tekst begrijpend te lezen, omdat de verwerkingsverantwoordelijke al niet eens het onderscheid wist te maken tussen (in het Nederlands) een "privacyverklaring" en "algemene voorwaarden".

Wat onder andere opviel in de door Google als subverwerker opgestelde algemene voorwaarden, was dat de verantwoordelijkheid voor compliance met de geldende privacy-regelgeving expliciet werd teruggelegd bij de klant van Google (de verwerker), die deze verantwoordelijkheid op zijn beurt weer teruglegde bij de verwerkingsverantwoordelijke. Met andere woorden, de (sub)verwerkers gaven zichzelf een vrijbrief om de wet te schenden zonder daarvoor aansprakelijk gesteld te worden.

Google gaf zichzelf ook de vrijheid om gegevens te delen met haar filialen, ook buiten de EU. Google is met filialen aanwezig in meer dan honderd landen ter wereld. Bovendien mocht Google die gegevens ook delen met haar "partners".

Moet een Nederlandse klant die een eenvoudige, lokale aankoop doet (het ging om aankopen van tien tot hooguit 50 euro), zelf gaan controleren wat er staat in de engelstalige algemene voorwaarden van een subverwerker van een verwerker van de verkoper? Voorwaarden die zijn opgesteld door topjuristen van een wereldomspannend miljardenbedrijf?

Is dat "in de geest van de AVG", zoals Arnout Engelfriet lijkt te denken?

I rest my case...

M.J.
13-04-2022, 11:40 door Anoniem
Je kunt denken dat je het beter weet dan Google, maar wees maar gerust ze weten bij Google echt wel wat ze
wel en niet mogen doen bij verwerken van gegevens van klanten in de EU.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.