26 april 2018

AVG, verwerkers-overeenkomst- Ja of nee?

In mijn Blog ‘AVG Wat doen we er mee?’ stelde ik vragen rond de verwerkersovereenkomst. Deze overeenkomst is een belangrijk onderdeel van De Algemene Verordening Gegevensbescherming (AVG) en regelt de afspraken en de verdeling van de verantwoordelijkheden tussen opdrachtgever en leverancier. Als 25 mei de AVG van kracht wordt zullen waar nodig de verwerkersovereenkomsten in orde moeten zijn. Zoals in die blog vermeld heb ik al vele versies en vormen gezien. Ook heb ik uiteenlopende standpunten gehoord en gelezen over wanneer een overeenkomst moet worden getekend. Hoe Kodision hier tegenaan kijkt zet ik uiteen op basis van de volgende twee vragen: Wanneer is/vinden wij een verwerkersovereenkomst noodzakelijk? Hoe gaan we praktisch om met een verwerkersovereenkomst als (SaaS)-leverancier?
Digitale overheid

Wanneer is/ vinden wij een verwerkersovereenkomst nodig?

Een paar maanden geleden kreeg ik van Ard van Winden, onze accountmanager voor gemeenten,  de eerste verwerkersovereenkomst op mijn bureau. Een klant die gebruik maakt van TriplEforms wilde graag dat ik die tekende. Ik maakte Ard duidelijk dat ik dit niet direct van plan was.  In mijn optiek was de verwerkersovereenkomst niet nodig omdat:

A: Wij alleen de software hebben geleverd  en niet de hosting verzorgen;

B: Wij geen (verwerkers)rol hebben in het proces van de klant

Mijn standpunt baseerde ik onder meer op de Factsheet verwerkersovereenkomsten van de Informatiebeveiligingsdienst voor gemeenten (IBD), opgesteld in samenwerking met de Vereniging Nederlandse gemeenten (VNG). Dit document gaat gelukkig uitgebreid in op de vraag wanneer een verwerkersovereenkomst nodig is. Daarin wordt het volgende gesteld:

Laat de gemeente on-premise software installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een verwerkersovereenkomst vereist. De leverancier die enkel een softwarepakket levert, verwerkt geen persoonsgegevens. Dat doet de gemeente zelf. Deze leverancier is dus geen verwerker, tenzij de software extern wordt beheerd en niet binnen de eigen gemeentelijk ICT-omgeving.

Omdat er geen sprake was van extern beheer achtte ik de verwerkersovereenkomst niet noodzakelijk. Belangrijk daarbij is wel dat wij bij supportverlening niet in aanraking komen met persoonsgegevens. En daar kom je in het grijze gebied. Zijn wij verwerker als we bij het verlenen van support via de klant eventueel inzage krijgen in persoonsgegevens? Bijvoorbeeld door een stukje logging van een aanvraag  die ter inzage wordt gegeven? In mijn ogen verwerken wij dan nog steeds geen gegevens. De Factsheet zegt er het volgende over:

Criterium is te allen tijde of een derde partij bij de persoonsgegevens kan. Is dat het geval, dan is het belangrijk dat goede afspraken worden vastgelegd met betrekking tot wat de softwareleverancier mag, wie waarvoor verantwoordelijk is en wat bijvoorbeeld moet worden gedaan als de softwareleverancier een datalek veroorzaakt.

Natuurlijk moeten we altijd voorkomen dat persoonsgegevens op straat komen te liggen maar om daar dan een complete verwerkersovereenkomst voor te tekenen met de verplichtingen die daarbij horen? Laten we dan samen met de klant zorgen dat wij als leverancier in het geval wij de klant te hulp schieten zoveel mogelijk alleen worden voorzien van anonieme gegevens of van testgegevens.

Gelukkig was de klant het vooralsnog met mij eens en deze lijn wordt door steeds meer klanten geaccepteerd.

Hoe gaan we praktisch om met een verwerkersovereenkomst als (SaaS)-leverancier?

In het geval wij SaaS-leverancier zijn of de hosting van de software verzorgen dan staat de verplichting van een verwerkersovereenkomst niet ter discussie. Dan moet deze worden overeengekomen. Maar hoe houd je het praktisch? En hoe ga je om met het feit dat wij niet weten welke gegevens de software verwerkt omdat de klant dat volledig zelf bepaalt? Hoe specificeer je dat in de overeenkomst? De wet vraagt namelijk een specificatie van de gegevens.  Maar bij ons is dat dynamisch. Nieuwe formulieren die worden gemaakt en processen die worden ingeregeld, brengen andere gegevens met zich mee. Dan wil je niet je verwerkersovereenkomst bijstellen en deze beide weer ondertekenen. Vergelijk Microsoft met Excel 365. Microsoft heeft geen idee of door de klant er naast mooie berekeningen ook een personenlijstje in wordt bijgehouden en welke details worden vastgelegd. En morgen kan het weer anders zijn. Dus Microsoft sluit geen verwerkersovereenkomsten af met individuele partijen maar kiest voor een aanvulling van zijn gebruiksvoorwaarden.

Ook voor ons is een specifieke overeenkomst die door beide partijen moet worden getekend dus niet praktisch. Ook wij  hebben gekozen voor een generieke verwerkersovereenkomst in de vorm van een Data Pro statement en standaardclausules voor verwerkingen die we van toepassing verklaren op al onze opdrachten.

De praktijk

Betekent dit nu dat Kodision geen verwerkersovereenkomsten van de klant tekent? Als wij dus alleen de software hebben geleverd in principe niet en we gaan daar graag het gesprek met de klant over aan.

Zijn we ook verantwoordelijk voor de hosting of zijn we SaaS-leverancier dan vermelden we op onze offerte dat op de opdracht onze verwerkersovereenkomst (bestaande uit het Data Pro Statement en de standaardclausules voor verwerkingen) van toepassing is. We voegen de verwerkersovereenkomst als bijlage toe of verwijzen naar onze website waar de overeenkomst te downloaden zal zijn.

En natuurlijk volgen we nauwgezet de komende tijd de ontwikkelingen en discussies rond de verwerkersovereenkomst in de praktijk en scherpen we waar nodig onze standpunt aan.

Dit was alweer de tweede blog van Mario over de nieuwe AVG wetgeving. En er zullen er nog meer volgen. Blijf onze blogpagina dus in de gaten houden! Heb je een vraag over dit artikel? Vul het onderstaande formulier in en wij nemen z.s.m. contact met je op!

Geschreven door:

Mario de Bruin