Arnoud geeft hier een recept voor wegkijken.
Als je maar doet of je het niet ziet, dan kom je er als "verwerker" juridisch mee weg.

Dat is geen wegkijken. Dat is alsof je Volkswagen verantwoordelijk maakt voor het feit dat jij door rood gereden bent. Volkswagen maakt een auto. Die verkopen ze aan jou. Dat jij daarmee iets onwettigs doet is jouw probleem, niet dat van Volkswagen.

Zelfde hier. Jij maakt een product. Zeg: een database. Je verkoopt die database aan je klant. Die klant zegt dat persoon B ook bij die database moet kunnen. Technisch kan dat met een API of toegang. Jij bent niet verantwoordelijk voor de integriteit van persoon B... Je kan pas verantwoordelijk zijn als je invloed op het proces kunt uitoefenen. En dat geef je uit handen aan je klant zodra je de databasesoftware of -dienst verkoopt.

Wel moet je natuurlijk zorgen dat je API / externe toegang goed geregeld is. Als jij wachtwoorden van maximaal 8 karakters gebruikt en geen MFA implementeert is dat aan jou. Maar klant A die zijn password en MFA-token weggeeft aan persoon B is niet jouw probleem.

Ik verneem graag je protocol voor actief verifiëren van grondslagen en doelbinding bij de verwerkingsverantwoordelijke.

Als de verwerker het doet en het blijkt in strijd met de wet, dan is de verwerkingsverantwoordelijke gewoon te beboeten of juridisch aan te spreken. Het zou kunnen dat dat zelden gebeurt, maar ik vind dat geen reden om neerbuigend te sneren dat de verwerker dan "wegkijkt".

Binnenkort wordt het delen van andermans financiële persoonsgegevens legaal. Lees de open finance ('FIDA') voorstellen van de Europese Commissie, recent persbericht: https://www.consilium.europa.eu/nl/press/press-releases/2024/12/04/capital-markets-union-council-agrees-to-make-consumers-financial-data-more-accessible/

Voorbeeld van wat straks officieel mag (en misschien nu al illegaal gebeurt): supermarkt geeft al zijn betaalgegevens aan een 'innovatief' fintech bedrijf, die analyseert welke klanten (jij en ik) welke transacties doen en de koopanalyse verkoopt aan de hoogst biedende (kunnen ook criminelen zijn). Die jou en mij dan komt vertellen wat we moeten kopen.

Gevaarlijk.

Dit is wel te makkelijk gezegd. Je zou de AVG er op na kunnen slaan.
Als verwerker werk je in opdracht van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke bepaalt doel en middelen van de verwerking. De verwerkingsverantwoordelijke moet ook zorgen dat hij die persoonsgegevens mag verwerken, of hij dat nu door een verwerker laat uitvoeren of niet. De verwerker kan/hoeft hier niet van op de hoogte te zijn en moet er vanuit kunnen gaan dat de verwerkingsverantwoordelijke zijn zaakjes op orde heeft. Dus bijvoorbeeld een juridische grondslag hebben om de persoonsgegevens te verwerken.
Blijkt er geen juridische grondslag te zijn, en de gegevens worden toch verwerkt, dan is verwerkingsverantwoordelijke fout (ook al is de verwerking uitbesteed aan de verwerker). Er staat niet voor niets "verantwoordelijke" in de aanduiding van de partij die de opdracht geeft.

Ziet de verwerker iets wat niet kan/mag volgens de wet (mbt de opdracht die hij van verwerkingsverantwoordelijke heeft gekregen) dan moet de verwerker de verwerkingsverantwoordelijke hiervan op de hoogte stellen. Ik denk dat je als verwerker dan de verwerking ook kunt (moet?) pauzeren, maar ik weet niet of dat juridisch onderbouwd is.

Onzin. Dit is geen wegkijken, dit is juridische realiteit. Als verwerker bepaal jij niet het doel van de verwerking — dat doet je klant. Zonder harde aanwijzingen van misbruik is het niet jouw rol om elke datadeling te controleren. Wat je wél moet doen: beveiligen, loggen, transparant zijn. Geen morele paniek, gewoon professionele uitvoering van de AVG.

Ik wens je veel geluk in
Een verwerker die ineens z’n toga aantrekt en zich als pseudo-toezichthouder opstelt? Intrigerend.

Volgens de AVG is de verwerker een verlengstuk van de verwerkingsverantwoordelijke. Niets meer. Niets minder. Die hoort dus te doen wat hem gevraagd wordt, binnen de grenzen van de overeenkomst en de wet — niet om contractuele privacy-bureaucratie van derden op te eisen alsof het de Belastingdienst betreft.

Zodra een verwerker zich bevoegd acht om verwerkersovereenkomsten van derden op te vragen, begeeft die zich op glad ijs. Dat is niet alleen juridisch ongegrond, en strijdig met de AVG. De verwerker bepaalt het doel en de middelen niet, en heeft dus nul bevoegdheid om de privacyrechtelijke onderbouwing van andermans relaties te controleren. Dat is het werk van de verwerkingsverantwoordelijke — en van de Autoriteit Persoonsgegevens als het écht misgaat.

Kortom: als een verwerker vindt dat hij verwerkersovereenkomsten mag controleren, dan is het misschien tijd dat hij zichzelf promoot tot verwerkingsverantwoordelijke — met alle aansprakelijkheid van dien. Veel succes met die audit, held.

En het is de plicht van een professional om zijn/haar klanten te informeren. Even de vraag "Op basis van welke AVG grondslag deel je de gegevens?" stellen en bij een redelijk antwoord "OK" knikken is al genoeg.

Anoniem heeft je al een goed antwoord gegeven. Ik kan er nog een toevoegen: in een verwerkersovereenkomst heb je (als het goed is) afgesproken dat de software partij de verwerker is en dat te verwerken persoonsgegevens rechtmatig verkregen zijn (dus met grondslag). De verwerker mag ALLEEN handelen op instructie van de verwerkersverantwoordelijke. Als je dit hebt geregeld dat ben je dus ook niet aan het wegkijken, je spreekt alleen duidelijk af dat de klant verantwoordelijk is.

Je neemt aan dat "wegkijken" en de "juridische realiteit" elkaar uitsluiten. Volgens mij is de huidige juridische realiteit juist dat er massaal mag worden weggekeken. Het lijkt me echter ieders burgerplicht om niet tegen beter weten in misdrijven zoals grootschalige privacy-schending te faciliteren.

Daarvoor hoef je niet te wachten totdat de juridische realiteit een keer gaat veranderen. Dat is zoiets als wachten totdat politici eerlijk gaan communiceren, of totdat Shell en Aramco ophouden met fossiele brandstoffen te produceren. Het gaat misschien een keer gebeuren, maar dat kan nog heel lang duren.

Ander voorbeeld. Het duurde na Copernicus (1534) nog eeuwen voordat de Katholieke Kerk toegaf dat de zon niet om de aarde draait. Was die "religieuze realiteit" een goede reden om dan maar te blijven zeggen of doen alsof de zon wèl om de aarde draaide? Natuurlijk niet. Gelukkig hebben een heleboel mensen in die eeuwen hun beste weten gevolgd, niet weggekeken en allerlei manieren gevonden om nieuwe, oprechte inzichten te volgen.

Dus ook al kan een verwerker er op dit moment, zoals @Anoniem hierboven om 09:07 uur aangeeft, "juridisch mee wegkomen", dat is in mijn ogen nog geen reden om niet eerlijk onder ogen te zien waaraan je als verwerker in zo'n geval meewerkt. Je kunt proberen om in plaats daarvan een klantenkring op te bouwen van ondernemers die ervoor kiezen om niet van dataroof hun verdienmodel te maken.

Bona fide verwerkers zouden ook een organisatie kunnen oprichten die een keurmerk verleent aan bona fide verwerkers.

Overigens deed ik vandaag een proefje en stuurde onder dit topic anoniem een reactie die ongeveer zo ging:

Dit kwam niet door de moderatie van deze site. Ik vraag me af waarom.

M.J.

@TS,
je schrijft klantdata, neem aan dat die data aan je klanten toebehoort, waarmee jij een dienst, order, bestelling mag en kan uitvoeren.
Ik vindt het niet goed dat een ondernemer waar ik een dienst, bestelling, etc afneem, mijn data deelt met andere bedrijven, zoals tegenwoordig blijk de mode is.
Daarbij denk ik aan review verzoeken, enquetes, een mail van de vervoerder hoe ik hun service beoordeel.

Alsof het uitspreken van een juridische term zoals "gerechtvaardigd belang" of "toestemming" een soort magische vrijwaring biedt. Geen verificatie, geen onderbouwing, geen bewijs. Gewoon een knikje. Prima toch?

Het is hetzelfde als een douanebeambte die vraagt “Wat zit er in die koffer?” en op het antwoord “Niks illegaals” tevreden zwaait: “Fijne reis dan maar.”

Een verwerker moet geen toezichthouder spelen, maar blindelings vertrouwen op elke vage claim ondermijnt het hele idee van gegevensbescherming. Minimale professionele zorgvuldigheid betekent: niet wegkijken, niet doorduwen, maar op z’n minst vragen naar het hoe én het waarom — en de basis ervan vastleggen. Niet om de AP te spelen, maar om later te kunnen aantonen dat je als verwerker niet willens en wetens hebt meegedaan aan een datalek met voorbedachten rade.

Kortom: knikken is geen due diligence. Het is pseudo-juridisch decorum. En je reputatie hangt niet aan het woord “OK”, maar aan wat je niet hebt gevraagd toen je dat had moeten doen.

Dus alleen nog maar verantwoordelijkheid nemen voorzover dat door een protocol wordt voorgeschreven? Klinkt een beetje als de aanpak van een Russische ambtenaar ten tijde van de Sovjet-Unie, alleen had die in zijn protocol ook een fles wodka die bij moeilijke beslissingen te voorschijn werd gehaald en wat bankbiljetten die werden ontvangen en doorgeschoven om alles nog wat meer "legaal" te maken. Allemaal volgens het gebruikelijke protocol, dus helemaal oké!


Precies. Het gaat om due diligence, niet om protocol. Due diligence kan niet worden gereduceerd tot het afdraaien van een protocol, want due diligence is geen standaardgedrag, maar gedrag dat op een verstandige manier is toegesneden op een specifieke, concrete situatie. Wanneer mensen alleen nog maar in protocollen denken en zich dus opstellen als radertjes die zonder verdere verantwoordelijkheid meedraaien in een machine, dan blijft er van privacy-bescherming en andere vrijheden en rechten in de praktijk al snel erg weinig over.

Protocollen worden veel te vaak misbruikt als excuus om zich achter te verschuilen en geen verantwoordelijkheid te nemen. "Ik mag als verwerker aan de verwerkingsverantwoordelijke geen serieuze vragen stellen, want dat staat niet in mijn protocol." Wat een droevige attitude.

M.J.

De verwerker is niet gerechtigd om de rechtmatigheid van het delen van gegevens met derden zelfstandig te verifiëren, zelfs niet als er geen directe aanwijzingen voor misbruik zijn. De verantwoordelijkheid voor het waarborgen van de rechtmatigheid van de gegevensverwerking en -deling ligt volledig bij de verwerkingsverantwoordelijke, oftewel de klant die de gegevens verstrekt. De verwerker is slechts verplicht om instructies van de verwerkingsverantwoordelijke op te volgen, zolang deze instructies voldoen aan de AVG.

Echter, de verwerker heeft wel de plicht om zorgvuldig om te gaan met de gegevens, wat inhoudt dat hij ervoor moet zorgen dat gegevens op een veilige manier worden overgedragen, bijvoorbeeld door het gebruik van beveiligde communicatiekanalen.

Het idee dat de verwerker de verwerkersovereenkomsten van derden mag opvragen, zoals MJ suggereert, is volledig onterecht. De verwerker heeft geen bevoegdheid om dergelijke documenten te eisen, aangezien hij niet de verwerkingsverantwoordelijke is en dus niet mag controleren of de klant (verwerkingsverantwoordelijke) de gegevens op een legale en verantwoorde manier deelt.

Het opvragen van verwerkersovereenkomsten van derden zou bovendien in strijd zijn met de AVG, aangezien het de grenzen van de rol van de verwerker overschrijdt en kan worden opgevat als een poging tot toezicht houden over de verwerking die de verwerkingsverantwoordelijke zelf dient te controleren.

Je verwart hier vier dingen met elkaar, of onderscheidt ze althans niet zorgvuldig:
1. Een recht van een verwerker om het door verwerkingsverantwoordelijke delen van gegevens met derden (d.w.z. andere verwerkers of subverwerkers) te verifiëren (dat is er inderdaad niet);
2. Een praktische mogelijkheid voor een verwerker om het op enige wijze te verifiëren (die is er vaak wel);
3. Een wettelijke plicht van een verwerker om het te verifiëren (die is er weer niet);
4. Een morele verantwoordelijkheid om soms het e.e.a. te verifiëren om de kans dat men meewerkt aan een schending van de wet, zo klein mogelijk te houden (een vorm van due diligence; die morele verantwoordelijkheid is er wel).

Ja, maar dat is een andere zaak. De verwerker kijkt dan niet of de betreffende gegevens überhaupt wel mogen worden overgedragen aan de betreffende partij. De verwerker wiens vraag aanleiding vormde voor het bovenstaande artikel van Arnoud Engelfriet, was juist wèl geïnteresseerd in de vraag over de toelaatbaarheid en zijn eigen verantwoordelijkheid daarbij.

Slim bedacht om het woord "suggereren" te gebruiken terwijl ik het niet zeg. Maar ik "suggereer" het ook niet.
Overigens, nu jij dit zelf aan de orde stelt... Dat idee is wel degelijk terecht. Iedereen mag verwerkersovereenkomsten opvragen. Of men ze dan ook krijgt, is een tweede. Verwerkingsverantwoordelijken houden graag geheim wat ze met hun verwerkers hebben afgesproken. Kennelijk hebben ze vaak nogal wat te verbergen. De verwerkersovereenkomsten die ik in de loop der tijd wel heb gezien (nadat ik ze had gevraagd en gekregen), waren vaak een gatenkaas die de verwerker toestond zo ongeveer alles met de verwerkte gegevens te doen.

Dat klopt inzoverre, dat de verwerker inderdaad niet een dergelijke bevoegdheid heeft. Maar als verwerker kun je natuurlijk wel zeggen: "Beste verwerkingsverantwoordelijke, ik ga alleen diensten voor jou uitvoeren als ik me er voldoende van heb kunnen overtuigen dat ik niet meewerk aan illegale activiteiten, bijvoorbeeld dataroof die in strijd is met de bedoeling van de AVG."

Immers, als iemand jou op straat benadert met een mooie, elektrische fiets en zegt: "Heb je belangstelling? Hij kost maar 50 euro." Dan kun jij ook kiezen om niets te vragen, of om te vragen: "Is die fiets jouw eigendom? Hoe kom je eraan?" Stel dat je kiest om niets te vragen en die vijftig euro te lappen, en dat je dan twee straten verderop iemand tegenkomt die roept. "Hé, dat is mijn fiets! Wat doe jij daarmee?" - wat ga je dan antwoorden? Ik heb wel een paar suggesties:
-- "Mijn naam is haas, ik weet van niets."
-- "Ik heb hem netjes gekocht voor 50 euro, kijk, hier is het handgeschreven bonnetje."
-- "Ik heb mijn protocol gevolgd en er was geen aanwijzing dat er iets mis was met die fiets."

Stel dat die ander dan zegt dat hij thuis een eigendomsbewijs heeft met het nummer van het frame, en een politieagent erbij roept. Dan ben ik benieuwd hoeveel indruk het op de politie maakt dat jij je "protocol" hebt gevolgd... Het vreemde is dat het bij het stelen en helen van persoonsgegevens in de praktijk opeens heel anders lijkt te werken.

Nee hoor, dat zou helemaal niet in strijd zijn met de AVG. Vragen staat vrij. De verwerkingsverantwoordelijke kan dan in vrijheid kiezen om op het verzoek in te gaan, of niet. Hoe het verzoek wordt "opgevat", is een zaak van de subjectieve mening van de verwerkingsverantwoordelijke. Het kan door hem/haar ook worden opgevat als oprechte betrokkenheid en hulpvaardigheid.

Ik heb als burger ("betrokkene" in de zin van de AVG) wel eens verwerkersovereenkomsten opgevraagd bij verwerkingsverantwoordelijken. In de beginjaren van de AVG werden die meestal ook aan mij verstrekt. Tegenwoordig wordt het bijna standaard geweigerd, vaak met de mededeling dat het "geweigerd wordt omdat het niet verplicht is om daar inzage in te geven" - een nogal zwak argument als de verwerkingsverantwoordelijke tegelijk hoog van de toren blaast dat hij "het vertrouwen van de klant" zo belangrijk vindt.

Verwerkingsverantwoordelijken willen hun klanten tegenwoordig vaak zo min mogelijk inzicht geven hoe ze, achter een rookgordijn van manipulatieve leuzen ("Wij vinden uw privacy zeer belangrijk!") in werkelijkheid met de verzamelde persoonsgegevens omgaan.

En als zo'n betrokkene dan een handhavingsverzoek bij de AP indient, dan zegt de AP dat er "te weinig aanwijzingen zijn om een onderzoek in te stellen". Logisch dat er weinig aanwijzingen zijn - de verwerkingsverantwoordelijke houdt die verwerkersovereenkomsten en andere praktijken immers geheim! Dit is in de praktijk een gapend gat in de bescherming van burgers tegen onrechtmatige gegevensverwerking. Als toezichthouder doet de AP daar niets aan, integendeel, die gebruikt het bestaan van dat gat om zich achter te verschuilen, en houdt het gat daarmee ook in stand.

M.J.

Wat je vooral ziet bij de jongere garde achter de programmeer- en service knopjes, is dat ze menen over alles te gaan. Ze vinden zich nog wel eens belangrijker dan de klant. Die zelf natuurlijk zijn eigen verantwoordelijkheden heeft en aanprakelijkheden draagt.

"Daar beginnen we niet aan" of nog erger "we trekken er gewoon de stekker uit" wil nog wel eens te snel opkomen in de bolletjes van de jonge IT goden.

Zulke dingen kunnen enkel een rol spelen als het over strafrecht gaat. Dan zou je eventueel als medeplichtig kunnen worden gezien. Wat dan wel eerst nog even bewezen moet zijn. De AVG is echter civielrecht. Het kent enkel boetes voor de dataverantwoordelijke. Wat je als softwareboer niet bent. Het gaat over data van een klant waar je zelf niet eens in mag kijken.

De AVG is een wet waarop niet alleen in het civielrecht, maar ook in het bestuursrecht een beroep kan worden gedaan. Iemand die een AVG-klacht indient bij de AP, kan naar de bestuursrechter stappen als die klacht naar zijn mening niet conform de wet wordt afgehandeld. De AP kan als toezichthouder bestuurlijke ("administratieve") boetes opleggen of zelfs een last onder bestuursdwang opleggen (art. 58, tweede lid AVG en art. 83 AVG; alsmede art. 16 UAVG).

Dit kan de AP ook doen als het gaat om strafbare feiten. Niet voor niets heet artikel 17 UAVG: "Boete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard".

Als een verwerkingsverantwoordelijke moedwillig schade veroorzaakt bij een burger of een bedrijf op zo'n manier dat daarbij één of meer bepalingen van het Wetboek van Strafrecht worden overtreden, dan kan de AVG in theorie ook relevant worden voor de strafrechtelijke vervolging van die verwerkingsverantwoordelijke.

Bijvoorbeeld (hier volgt een door mij geconstrueerd denkvoorbeeld) bij het aantonen dat de verwerkingsverantwoordelijke moedwillig assisteerde bij de voorbereiding van een misdaad. Stel bijvoorbeeld dat een verwerkingsverantwoordelijke informatie heeft laten "lekken" naar een bevriende persoon of organisatie, die deze gegevens vervolgens heeft gebruikt om bij een natuurlijke persoon in te breken en daarbij kostbaarheden te stelen of wellicht zelfs de natuurlijke persoon te verwonden of te doden. Dan kan het strafrechtelijk relevant worden of de verwerkingsverantwoordelijke zich ervan bewust was dat hij in zijn omgang met de betreffende persoonsgegevens de AVG overtrad, en dit dus moedwillige deed, of dat het alleen om een "onbewuste fout" ging.

Ik weet niet of er in een strafrechtzaak in de praktijk al eens een dergelijk beroep is gedaan op de AVG.

Los daarvan zouden sommige (soorten van) overtredingen van de AVG in mijn ogen rechtstreeks strafbaar gesteld moeten worden, omdat het huidige toezicht op de AVG (door de AP) volstrekt onvoldoende effectief is om allerlei illegaal of schadelijk gedrag te voorkomen of tegen te gaan, en omdat de interpretatie die rechters op dit moment aan de AVG geven, vaak inadequaat is als het gaat om het beschermen van privacy. Burgers zouden de mogelijkheid moeten hebben om aangifte te doen tegen sommige overtredingen van de AVG. Dat kan pas als de betreffende overtredingen ofwel in enige vorm worden opgenomen in het Wetboek van Strafrecht, ofwel worden herkend (geïnterpreteerd) als strafbare handelingen die nu al vallen onder een bestaande strafbepaling.

Het kan allemaal. Wat er bij autoriteiten helaas ontbreekt, is de bestuurlijke, politieke en rechterlijke wil om privacy echt te beschermen.

M.J.

Ik vermoed dat een verwerker die tot de slotsom komt dat dat nodig is voortaan zorgt dat in verwerkingsovereenkomsten een clausule staat die stelt dat de verwerkingsverantwoordelijke ervoor instaat dat bij dergelijke verzoeken dat goed zit, en dan vervolgens niet elke keer een ritueel van maakt van dit onderwerp maar simpelweg de verzoeken inwilligt, omdat het contract de situatie al heeft afgedekt.

Zo ad hoc zullen verwerkersovereenkomsten hopelijk niet tot stand komen.

Dat ik je wat dingen tegenwerp wil overigens niet zeggen dat ik vind dat je geen punt hebt. Er zit namelijk wel degelijk een risico aan hoe het uitbesteden van verwerkingen werkt dat niet goed door die contracten wordt afgedekt.

In 2023 bijvoorbeeld was er een groot datalek bij een softwareleverancier voor marktonderzoek, die, zoals tegenwoordig meer regel dan uitzondering lijkt te zijn, niet alleen software levert maar ook de verwerking doet. Ettelijke bedrijven hadden marktonderzoeken uitbesteed aan daarin gespecialiseerde bedrijven, en die gebruikten weer de diensten van dat softwarebedrijf. Dan is er opeens een single point of faillure dat grootschalig heel veel partijen raakt, en heel veel mensen. Dit is omschreven als mogelijk het grootste datalek dat in Nederland heeft plaatsgevonden.

Dat softwarebedrijf, Nebu, was Hongaars, met een vestiging in Wormerveer, en dochter van het Canadese Enghouse Systems. Nebu reageerde niet goed, hield de kaken stijf op elkaar, zodanig dat marktonderzoeker Blauw, en van de getroffenen, via een kort geding meer openheid heeft afgedwongen.

Nou zal dat vast juridisch allemaal wel uitgevochten worden, maar het punt is dat het primaire streven niet moet zijn dat dat wel lukt, het primaire streven moet zijn dat dat datalek om te beginnen niet plaatsvindt. Het is maar de vraag of dat nog goed lukt als het werk en de de verantwoordelijkheid over teveel schijven worden uitgesmeerd. En bij dataverwerking hebben die constructies de neiging om op de achtergrond allemaal bij elkaar te komen bij partijen waar het wel heel erg in het groot mis kan gaan.

Een voorbeeld van hoe dat niet goed gaat hebben we, alweer jaren geleden, in de bouw gezien. Er begonnen steeds vaker van nieuwbouwappartementen balkons naar beneden te donderen, er stortten parkeergarages in, dat soort ellende. Wat ging daar mis? Op papier was alles ongetwijfeld goed geregeld, maar onderaannemers huurden zelf weer onderaannemers in, en zelfs als iedereen op dezelfde bouwplaats werkte was het overzicht van wie wat deed en of het volgens de afgesproken normen gebeurde zoek door die te ver doorgevoerde spreiding van verantwoordelijkheden.

Je moet dus wel zorgen dat dingen juridisch goed dichtgetimmerd zijn, maar je moet daarnaast ook zorgen dat wat er feitelijk gedaan wordt zelf ook goed dichtgetimmerd is. Sterker nog, dat is waar het werk over gaat. Als het werk zelf goed gedaan wordt dan is de kans groot dat al dat juridische timmerwerk nooit ingezet hoeft te worden, maar om het werk zelf goed te beoordelen moet je betrokken genoeg zijn om het nog te kunnen beoordelen.

Daar staat weer tegenover dat je dingen uitbesteedt omdat je zelf niet overal verstand van kan hebben. Dat betekent dat je niet alles kan overzien en dus op de professionaliteit van de partij vertrouwt waaraan je dingen uitbesteedt. Het juridisch goed dichttimmeren van een overeenkomst helpt om de schade te regelen als dat mis blijkt te gaan.

Als er twee kanten aan zitten dan moet de juiste balans worden gevonden tussen die kanten. Ik heb het idee dat in de voorbeelden die ik noemde, zowel in de bouw als bij gegevensverwerking, die balans uit het oog is verloren. In de bouw moet de kwaliteitsinspecteur zicht hebben op wat een onderaannemer van een onderaannemer [van een...] uitspookt en oplevert, om instortingen te voorkomen, en bij het uitbesteden van gegevensverwerking moet dat, hoe moeilijk dat ook zal zijn in de praktijk, ook gelden. De verantwoordelijkheid contractueel afdekken is niet genoeg, dat is belangrijk voor als het misgaat, maar het volstaat niet om te voorkomen dat het misgaat. En dat moet wel het streven zijn.

Dit is inderdaad wat er nu in de praktijk vaak gebeurt. Sterker nog, ik heb ooit zelfs een verwerkersovereenkomst gezien waarin een subverwerker stipuleerde dat hij niet verantwoordelijk was voor het lekken van de betreffende persoonsgegevens door wie dan ook - dus ook niet door hemzelf. Dit werd allemaal teruggelegd bij de opdrachtgever (in casu de verwerker) die weer een vergelijkbare, ietwat vage clausule had opgenomen die de verantwoordelijkheid weer teruglegde bij de verwerkingsverantwoordelijke. Zo hadden de subverwerker en de verwerker zichzelf gevrijwaard van elke aansprakelijkheid.

Die verwerkersovereenkomst van de subverwerker was bovendien geen separate overeenkomst, maar maakte deel uit van de algemene voorwaarden, waar de opdrachtgever mee akkoord was gegaan.

Natuurlijk is zo'n subverwerker meestal maar een klein bedrijfje, dat het uit oogpunt van kostenbesparing wel zo moet doen om het hoofd boven water te houden en zelf niet in de problemen te komen. In dit geval was de subverwerker echt een mini-mini-bedrijfje, waarschijnlijk een éénpitter die zelf gewoon de middelen niet in huis had om van alles te controleren. De naam van dat bedrijfje is me even ontschoten. Oh, ja, nu weet ik het weer. Dat mini-subverwerkertje heette... Google.

De verwerkingsverantwoordelijke gaf, via de verwerker (een Nederlands bedrijf), aan Google een blanco cheque om de persoonsgegevens van klanten van de verwerkingsverantwoordelijke desgewenst met "filialen" en "partners" in alle delen van de wereld te delen.

Nadat ik dit genoemd had in een AVG-klacht die ik indiende bij de AP, stelde de verwerkingsverantwoordelijke een jaar later dat de verwerkersovereenkomst inmiddels was "aangepast". Die tweede, aangepaste verwerkersovereenkomst mocht ik alleen niet zien. En de AP? Die ging er vanuit dat het nu goed zat, op grond van de uitspraken van de verwerkingsverantwoordelijke, en kondigde aan daarom geen overtreding te constateren en niets met mijn klacht te zullen doen.

Op deze manier is "privacy-bescherming" natuurlijk een farce.

Ik vrees dat in het hierboven door mij beschreven voorbeeld de verwerksovereenkomst van de kant van de verwerkingsverantwoordelijke (een kleine organisatie) wel degelijk zo ad hoc tot stand was gekomen, voorafgaand aan de door mij ingediende AVG-klacht. Er was getekend bij het kruisje. Van de kant van subverwerker Google (ongeveer een miljoen keer zo groot en rijk als de verwerkingsverantwoordelijke) was er daarentegen ongetwijfeld goed over nagedacht. Juridisch had Google zichzelf volledig ingedekt.

Dat ben ik helemaal met je eens. Ik vind het nog een understatement.

Sterker nog, het is in veel gevallen zeer onwaarschijnlijk dat het "nog goed lukt" als het over meer dan twee schijven (verwerkingsverantwoordelijke en verwerker) wordt uitgesmeerd. Het is net als dat spelletje waarbij je met een half dozijn mensen om een tafel zit en elkaar fluisterend een zinnetje of een omschrijving doorgeeft. Tegen de tijd dat het bij de laatste persoon is aangekomen, is het meestal aanzienlijk veranderd.

Inderdaad. En "misgaan" kan betekenen: onbedoeld misgaan, maar ook dat een (sub)(sub)verwerker precies weet wat-ie doet en dat het alleen voor de betrokkenen (de datasubjecten) misgaat.

Precies. Daarom zou mijns inziens bij de eerstvolgende wijziging van de AVG daarin moeten worden opgenomen dat de betrokkenen (de natuurlijke personen die de datasubjecten zijn) het recht hebben alle verwerkersovereenkomsten in te zien die betrekking hebben op de verwerking van hun persoonsgegevens. Alleen zij hebben er echt belang bij om die overeenkomsten kritisch te bekijken.

Ik denk dat "vertrouwen" een gepasseerd station is als je ziet hoe er in de afgelopen zeven jaar, sinds de komst van de AVG, door talloze partijen met persoonsgegevens is omgegaan. Het moet dus juridisch inderdaad "goed dichtgetimmerd" worden. Hoe valt dat te doen?

Mijns inziens is het juridisch pas echt goed dichtgetimmerd als het schenden van de verwerkersovereenkomst zulke ernstige, nadelige gevolgen voor de (sub)verwerker heeft, dat die daardoor werkelijk wordt afgeschrikt om een beetje "slordig" met de gegevens om te gaan. Bovendien moet de ontdekkingskans groot genoeg zijn. Als jouw of mijn persoonsgegevens nu bij Google, Facebook, Amazon, Microsoft of Apple terecht komen, hebben we feitelijk geen idee wat ermee gebeurt, en hebben we ook geen middelen om daar achter te komen. Pas als het al verschrikkelijk en grootschalig is misgegaan, is er een kans dat één of andere autoriteit zich geroepen voelt om enige transparantie af te dwingen - maar vooral niet te veel, of zelfs maar genoeg.

Mee eens. En de machtsbalans is op dit moment zo scheef, dat betrokkenen (datasubjecten) echt duizend keer zo sterke middelen zouden moeten hebben. Pas dan zou er een kans zijn dat zij, als gemotiveerde belanghebbenden, de juiste balans zouden kunnen herstellen.

Zoals de juridische balans op dit moment is, heb jij als datasubject in essentie één recht, namelijk het recht om, voordat je je hoofd op het hakblok legt, een schietgebedje te doen, mits je dat gebedje vroom begint met de woorden "ego te absolvo", gericht aan de AP die, gehuld in een fraai priestergewaad, de beul afzegent en vervolgens in de voorste rijen van het publiek gaat staan om toe te kijken bij jouw onthoofding.

Wat me stoort aan de reactie van Arnoud Engelfriet op de vraag, is dat hij in zijn antwoord in het geheel geen aandacht besteedt aan de realiteit van deze volledig uit de bocht gevlogen machtsonbalans. Dat lijkt op het zwijgende ontkenningsgedrag dat we vaak ook zien bij de AP, bij de regering en bij rechters.

M.J.