CIP Podcast - voor meer kennis over informatieveiligheid

Privacy in de Praktijk II, afl. 3: Wie is nu eigenlijk een verwerker?

May 03, 2022 Walter van Wijk
CIP Podcast - voor meer kennis over informatieveiligheid
Privacy in de Praktijk II, afl. 3: Wie is nu eigenlijk een verwerker?
Show Notes Transcript

Over dit onderwerp praten host Robin Rotman en Alex Commandeur, managing consultant bij BMC. Er wordt genoeg gepraat en geschreven over verwerkingsovereenkomsten. Voordat die kan worden opgesteld, moet worden bepaald wat ieders rol is. Ben je verwerker of niet? Het antwoord op die vraag heeft behoorlijke potentiële consequenties, zo vindt ook de Autoriteit Persoonsgegevens. Dus voordat je daarover een positie inneemt: ‘Denk goed na, aan welke kant je staat’.

Wie is nu eigenlijk een verwerker?

 

MUZIEK

COMMANDEUR: Wanneer ben je een verwerker?

ROTMAN: Welkom bij Privacy in de Praktijk.

Ik ben Robin Rotman en in deze podcast van het centrum informatiebeveiliging

en privacybescherming bespreek ik met deskundigen de meest interessante vragen

rond privacy in de dagelijkse praktijk.

COMMANDEUR: Denk goed na aan welke kant je staat.

ROTMAN: Dat is Alex Commandeur, de enige echte managing consultant bij BMC.

COMMANDEUR, een verwerkingsovereenkomst. Dit is volgens mij een van de meest verwarrende onderwerpen waar ik in deze serie over ga praten. Want het lijkt heel makkelijk en er is volgens mij heel veel ruis over.

Wanneer ben je een verwerker? Wanneer ben je een verantwoordelijke? Ik hoop dat we in dit kwartier tot een hoop mooie concrete inzichten kunnen komen.

Eerst even: wat is nou eigenlijk een verwerkersovereenkomst? Wat is dat voor een ding?

COMMANDEUR: Het is, wat 't zegt, een overeenkomst. Normaal gesproken sluit je met een partij met wie je wat gaat doen waarmee je gaat samenwerken, een overeenkomst. En in dit geval sluit je ook nog specifiek een overeenkomst over hoe je omgaat met de verwerking van persoonsgegevens.

ROTMAN: Je bent een partij. Je bent verantwoordelijk voor de gegevens van de burgers in je gemeente of voor je klanten, voor een groep mensen en gegevens en je wil een bepaalde taak uitbesteden aan een andere partij. Die maak je verantwoordelijk voor bepaalde gegevens.

En dat wordt dan de verwerker. En dan ben jij de verantwoordelijke. Zeg ik dat goed?

COMMANDEUR: Ja, je blijft de verantwoordelijke. Als je het hebt over de uitbesteding van de personeelsadministratie. Jij bent als werkgever verantwoordelijk voor de gegevens van jouw medewerkers. Je bent er ook verantwoordelijk voor dat hun salaris wordt uitbetaald. Dat kun je ook uitbesteden aan 'n andere partij.

ROTMAN: Hmhm.

COMMANDEUR: En als je dat doet, maak je dus afspraken over hoeveel geld dat gaat kosten. Dat is gewoon de overeenkomst die je sluit.

Maar daarnaast wil je ook dat zij heel netjes omgaan met de gegevens van jouw medewerkers waar jij verantwoordelijk voor bent. 

ROTMAN: Ja. Dus ik ben daarvoor verantwoordelijk en in een overeenkomst wil ik dat goed dicht tikken. Dus je mag ermee aan de slag. Ik huur je daarvoor in, het is jouw expertise. En wat staat er dan in er in zo'n overeenkomst?

COMMANDEUR: Heel belangrijk: hoe zij netjes en zorgvuldig omgaan. Dus hoe beveilig je de gegevens? 

Maar ook: wie mogen erbij? En waar mogen ze 't voor gebruiken? Maar ook niet onbelangrijk: wat als de overeenkomst eindigt? Wat gebeurt er dan met die personeelsgegevens? Blijft die dan tot in lengte van dagen bij dat bedrijf? Of geef je dat weer terug aan de werkgever?

En zijn hier ook een soort standaardovereenkomsten voor die je kan downloaden van internet, bij wijze van spreken of waar de AP misschien mee komt die mij een soort aanzetje geeft.

ROTMAN: Of is het heel specifiek per geval een nieuwe overeenkomst sluiten?

COMMANDEUR: Nee, er zitten heel veel standaardbepalingen in. Dus er zijn ook standaardovereenkomsten vaak afhankelijk van de branche of sector waarin je werkt. Bijvoorbeeld voor gemeenten heeft de VNG een standaard verwerkersovereenkomst gemaakt. En dat zie je in heel veel branches dat daar standaarden zijn gemaakt.

ROTMAN: Nu vind ik dit niet zo'n heel ingewikkeld geval. Jij noemt de personeelsadministratie of salarisuitbetaling. Dan gaat het daadwerkelijk over de gegevens. Nu kan ik me ook voorstellen dat je bijvoorbeeld als, weet ik veel, een school met leerlingenvervoer, dan...

Ga jij een partij inhuren om leerlingen van huis naar school te brengen of naar de BSO te transporteren en zo? Maar die vervoerder, die werkt ook met gegevens van mijn leerlingen. Moet ik dan een verwerkersovereenkomst sluiten?

COMMANDEUR: Nou, wat je ziet, is dat gemeenten bijvoorbeeld in het kader van leerlingenvervoer uitbestedingen doen. Dus leerlingen die niet in staat zijn om zelfstandig naar school te komen, daar kan de gemeente een voorziening voor treffen. En dan kunnen ze bijvoorbeeld een taxibedrijf inhuren die zorgt dat die leerlingen dan toch nog naar school kunnen.

ROTMAN: Precies, wat ik net omschrijf.

COMMANDEUR: Ja. En dan is het wel zo: de uitbesteding gaat dan in dit geval over een taxidienst en niet over het verwerken van persoonsgegevens. De focus ligt op de taxiservice en niet op de verwerking van persoonsgegevens.

ROTMAN: Er komt dan geen verwerkersovereenkomst omdat... Dat betekent niet dat dat taxibedrijf niet verantwoordelijk...  dat ze niet over die gegevens hoeven na te denken. Maar in dat geval zijn zij verantwoordelijk dat zij in hun administratie hun spulletjes goed organiseren. Ik hoef me dan als gemeente of als school geen zorgen te maken of dat wel goed komt. Dat is gewoon dan hun verantwoordelijkheid en niet die van mij omdat het gaat over vervoer en niet over gegevens.

COMMANDEUR: Ja, het taxibedrijf is in dit geval zelfstandig verantwoordelijk voor de naleving van alle bepalingen uit de AVG en dus niet in dit geval de gemeente die zegt: dit zijn de gegevens van de leerlingen die je moet ophalen.

ROTMAN: Ik kan me ook voorstellen dat hier een beetje ruimte is om te zoeken. Soms willen partijen een verwerker zijn, soms weten ze niet of ze een verwerker zijn. Is dat in de praktijk zo?

Wat kom jij dan allemaal tegen dat jij moet gaan uitleggen: Ja, maar je bent wel een verwerker of juist niet.  Wat is dat... Zit daar ruis?

COMMANDEUR: Nou, in principe niet, maar de praktijk is weerbarstig. Je kunt het zo gek niet bedenken of je ziet in overheidsland en in de commerciële sector dat er allerlei variaties en samenwerkingen zijn die het af en toe wel wat diffuser maken. 

Dan is het belangrijk dat je even goed nadenkt over aan welke kant je staat.

Want er zijn wel gevolgen verbonden aan of je verwerker of verwerkingsverantwoordelijke bent. Alle verplichtingen uit de AVG volgen de verwerkingsverantwoordelijke. Dus de AP vindt dat ook heel interessant, want die kijken: naar wie gaan wij de acceptgiro sturen voor de boete?

ROTMAN LACHT

COMMANDEUR: Dus als jij verwerker bent, heb je een kleinere kans op een boete dan als je verwerkingsverantwoordelijke bent. Want jij moet de AVG naleven.

ROTMAN: Dus als overheid kun je ook een verwerker zijn.

COMMANDEUR: Zeker. Verwerker voor een andere gemeente bijvoorbeeld. 

ROTMAN: Je kan ook verantwoordelijke zijn, je kan verwerker zijn en het... 

Je moet eigenlijk per casus, per geval even goed gaan inchecken bij jezelf: aan welke kant sta ik of wat... Je kan niet kiezen aan welke kant. Je staat, je bent of verwerker, of je bent verantwoordelijke.

De AP beschouwt je als verwerker of verantwoordelijke.

COMMANDEUR: In die zin heb je natuurlijk wel ’n keuze. In sommige gevallen afhankelijk van de afspraken die je maakt met 'n verwerker. Wat ga je uitbesteden? En daar heb je dus wel een keuze in. Maar als jij maar alleen een dienst uitbesteedt, dan heb je dus een keuze. Dan zeg je: nou goed, dan ben ik geen verwerker, maar blijf je verwerkingsverantwoordelijke. Als je zegt: nee, maar we gaan als hoofdmoot...

Het belangrijkste doel van deze overeenkomst is het uitbesteden van die gegevensverwerking. Dan wordt het anders. Dan word je verwerker-verwerkingsverantwoordelijke.

ROTMAN: Is dit een belangrijk deel van jouw dagelijkse bestaan in jouw werk dat je bezig bent met partijen om te kijken van: Eerst even definiëren: ben ik een verantwoordelijke of verwerker? Wat is nou eigenlijk de core business van deze deal? Of van deze actie? Is dat een belangrijk deel om te definiëren: aan welke kant sta je?

COMMANDEUR: Het is belangrijk om dat te doen überhaupt. Omdat daarmee ook afhankelijk is van: welke verplichtingen en verantwoordelijkheden laad je op je? Als jij verwerkingsverantwoordelijke bent dan ben jij degene die de verplichtingen uit de AVG moet nakomen, primair. Dus dat is belangrijk om te weten. Dat vindt de AP belangrijk, want dan weten ze waar ze de acceptgiro heen moeten sturen als het misgaat.

ROTMAN: Kun je een voorbeeld geven van een gemeente waarvan je zegt: het is een beetje diffuus en het is niet altijd helder. Heb je daar een casus bij?

COMMANDEUR: We hebben wel gezien dat er een gemeente in Nederland is die een boete heeft gekregen omdat ze iets deden wat niet mocht waar zij in hun verweer aangaven: ja, maar wij zijn geen verwerkingsverantwoordelijke, wij zijn verwerker. En daar ging de AP niet in mee.

ROTMAN: Kun je iets meer zeggen over de inhoud van deze casus? Je hoeft niet die gemeente te noemen, dat maakt me niet zoveel uit. Waarom was dus kennelijk de aard van deze casus dat het ingewikkeld...

COMMANDEUR: Het is een technisch verhaal. Het ging over wifi-tracking. Dan was de vraag: van wie is dat wifi-tracking? Wie verzamelt die gegevens? Wie doet dat? Wie is daar verantwoordelijk voor? Daarvan zei de AP: nee, dat is in dit geval heel duidelijk de gemeente. 

Terwijl de gemeente in het verweer zei: wij zijn geen verwerkingsverantwoordelijke.

ROTMAN: Ja, oké, voilà. Dus je hebt aan ene kant soms casussen waarbij het heel duidelijk is: dit gaat over personeelsgegevens. Dit is duidelijk een partij die de verantwoordelijke is, de andere partij is de verwerker. Soms gaat het duidelijk over een taxivervoerder. Dan gaat het over de dienst, de taxiservice en zijn zij zelf verantwoordelijk. Daar zit dus een wereld tussen waarvan echt af en toe wel een beetje ruimte is voor interpretatie. Er is ook nog zo'n bekend geval van de Ticketcounter. Wat is dat voor een casus?

COMMANDEUR: Het gaat niet om Ticketcounter, maar het gaat erom dat Ticketcounter, en zijn veel meer bedrijven, die hebben veel klanten. Bijvoorbeeld ook overheden hebben ze als klant. En ja, op het moment dat er dan bijvoorbeeld een datalek ontstaat, hebben zij dus te maken met heel veel klanten. 

ROTMAN: Even één klein stapje terug. Wat is Ticketcounter?

COMMANDEUR: Het gaat niet om wat Ticketcounter is, want dit gaat niet over de casus van Ticketcounter. Maar stel dat je een bedrijf inschakelt, of dat nou bijvoorbeeld Google is... Veel partijen maken gebruik van Google. Als er bij Google een datalek is, dan is dus niet alleen bij één klant, maar waarschijnlijk bij heel veel klanten sprake van een datalek. 

ROTMAN: Ja, wat voor afspraken heb je dan met Google? Gaat Google dan voor jou dat datalek melden of ga je dat zelf? 

COMMANDEUR: Nou ja, je kunt je voorstellen dat Google in dit geval het niet fijn zou vinden als ze 300 keer contact op moeten nemen met klanten om te vertellen dat ze een datalek hebben en afspraken moeten maken over hoe ze dat gaan melden bij de AP.

ROTMAN: En wat zegt de AP dan in zo'n geval?

COMMANDEUR: D e AP vindt het niet zo spannend wie er meldt als er maar gemeld wordt en er duidelijke afspraken over zijn.

ROTMAN: Eh, maar dan zegt de AP niet van: Google is hier de verwerker en de partij die daarmee in zee is gegaan, die is de eindverantwoordelijke of hier is Google de verantwoordelijke en die moet dit melden.

COMMANDEUR: Het gaat over onderlinge afspraken. De AP vindt het prima als jij als verwerkingsverantwoordelijke de afspraak maakt met de verwerker en dat de verwerker namens jou die melding doet.

ROTMAN: Ah, oké. Dus het is niet zo dat je automatisch of de verantwoordelijke bent of de verwerker. Als je een afspraak maakt met onderling en je komt er samen uit, dan maakt het in principe niet zo heel veel uit waar je staat, als je het maar goed vastlegt.

COMMANDEUR: Nee, nee, nee.

ROTMAN: Hier is het dus ingewikkeld. Voor mij in ieder geval.

COMMANDEUR: Dan leg ik 't niet goed uit.

ROTMAN: Of ik ben niet slim genoeg.

COMMANDEUR: De vraag is: als je een verwerker en een verwerkingsverantwoordelijke hebt en er is een datalek, wie gaat dat datalek dan melden? Dan zegt de wet duidelijk: de verwerkingsverantwoordelijkheid.

ROTMAN: De verantwoordelijke is de melder. Helder.

COMMANDEUR: Nou is de praktijk wel zo dat er bedrijven zijn met veel klanten. En dan zou het dus betekenen dat dat bedrijf met al die klanten contact moet gaan opnemen over de vraag of de verwerkingsverantwoordelijke dit dan een datalek vindt of niet, en wat er gemeld moet worden.

Nou, dat is voor een bedrijf met heel veel klanten eigenlijk ondoenlijk. Dus maak je dan afspraken van: nou ja, wij gaan namens de verwerkingsverantwoordelijke melden bij de toezichthouder.

ROTMAN: Oké, helder. Even praktisch en concreet: wat zijn nou de belangrijkste tips? Ik ben een partij en ik wil op een of andere manier een bepaalde taak uitbesteden aan een andere partij. En ik moet zo’n verwerkingsovereenkomst gaan opstellen. Hoe pak ik dit nou aan? Wat is nou de allereerste stap? Dat is waarschijnlijk: bepaal je positie.

COMMANDEUR: Ja, de eerste stap is weer goed nadenken over: wat ga ik nu uitbesteden? Is dat alleen maar een dienst en ga ik alleen maar een taxibedrijf inhuren? Of ga ik echt de verwerking van persoonsgegevens uitbesteden? Een voorbeeld is 'n bloemetje voor de zieke medewerker. Ga je met de bloemist op de hoek van de straat een verwerkersovereenkomst afsluiten voor het bezorgen van het bloemetje? Ik denk het niet. Maar dat zijn dingen waar je vooraf even over moet nadenken.

ROTMAN: Oké.

COMMANDEUR: Een goeie handreiking kan zijn: kan die partij zelfstandig een grondslag gebruiken? Hebben zij een goeie reden om de gegevens te verwerken zelfstandig? Als dat zo is, als ze een zelfstandige grondslag hebben, zullen ze vaak verwerkingsverantwoordelijke zijn.

ROTMAN: Dan zijn zij de verwerkingsverantwoordelijke. Oké, dus de eerste stap is eigenlijk: definieer eigenlijk even: wat is nou de aard van deze taak? Waar zitten we naar te kijken met z'n allen? En heb je dat goed bekeken, dan ga je kijken: aan welke kant sta ik dan eigenlijk? Dat vloeit daaruit voort. 

En dan ga je met die partijen kijken: wat zijn nou de afspraken? En hoe gaan we dat in zo’n overeenkomst zetten? Zeg ik dat goed zo?

COMMANDEUR: Ja, de eerste stap is: aan welke kant sta ik? Ben ik verwerker f werkingsverantwoordelijke? In de meeste gevallen helpt het dan om te kijken van: nou ja, als ik het uitbesteed, gaat het dan over de hoofdmoot, verwerking persoonsgegevens? Of gaat het over de hoofdmoot, uitbesteding van een dienst of taak?

ROTMAN: Bloemetjes bezorgen.

COMMANDEUR: Bloemetjes bezorgen, taxi rondrijden. 

ROTMAN: En als je nou zo'n overeenkomst wil gaan opstellen, heb je dan concrete tips hoe je dat dan doet? Want dat is natuurlijk heel erg casusafhankelijk.

COMMANDEUR: Ja, de belangrijkste tip als je zo'n overeenkomst gaat opstellen: maak gebruik van een format, een vastgesteld iets wat binnen jouw branche of sector gebruikelijk is. Maar dan gaat het er wel om dat jij heel goed omschrijft datgene wat de taak of de dienst is die je gaat uitbesteden. Wat dat inhoudt, waar het over gaat. Dat is wel erg belangrijk. En zorg ook dat de naleving van bijvoorbeeld beveiligingsvoorschriften dat je dat ook kunt aantonen.

Dat overschrijven van dat er eh... Wat staat er ook alweer zo mooi in de AVG? Passende organisatorische en technische beveiligingsmaatregelen. Dat is een onvoldoende omschrijving als het gaat over het naleven van de beveiliging, maar ze kunnen dat bijvoorbeeld ook aantonen met audits of certificeringen. 

ROTMAN: Ik kan me ook voorstellen dat het een soort defensieve actie zou kunnen zijn als je gewoon even vaststelt van: jij bent hier de verantwoordelijke, niet ik.

COMMANDEUR: Wat bedoel je daarmee?

ROTMAN: Dat je tegen een partij zegt: even voor de helderheid, ik heb een bepaalde dienst van jou afgenomen, maar jij moet wel zorgen dat je die gegevens goed regelt. Jij bent hier de verantwoordelijke, niet ik. Dat het een beetje defensief is dat je zegt van: dat je misschien op papier zet dat dat het geval is.

COMMANDEUR: Ik weet niet of dat defensief is. Dat is wat mij betreft: zorgen dat je vooraf duidelijke afspraken maakt. Dat doe je met elk contract. Met elke partij met wie je afspraken gaat maken, wil je vooraf duidelijk hebben wie welke verantwoordelijkheid en verplichtingen heeft.

Nou, dat doe je nu specifiek voor persoonsgegevens. 

ROTMAN: Ja, en dan is jouw hoofdmoot eigenlijk... Zoals zo vaak als het gaat over privacy, dan zijn regels, regels, regels. Maar eigenlijk is de hoofdmoot ook: gebruik je gezonde verstand ook gewoon en kijk even aan welke kant je nou werkelijk staat.

COMMANDEUR: Zeker. Gezond verstand is in privacyland heel belangrijk. De vraag is altijd: kan ik dit thuis uitleggen? Als je het thuis kunt uitleggen, ben je meestal al een heel eind als je gezond verstand hebt gebruikt.

ROTMAN: Dank je wel, Alex Commandeur, managing consultant bij BMC. Als je ook de andere afleveringen wilt terugluisteren van Privacy in de Praktijk, dat kan. Ga dan naar cip-overheid.nl/uitgelicht.