Bijdrage ingezonden door Arnoud Engelfriet, ICTRecht.
Arnoud Engelfriet - Weg met de bewerkersovereenkomst!
In hun recente bijdragen snijden Mark Jansen [IT2228] en Sylvia Huydecoper [IT2230] een herkenbare frustratie van de ICT-contractspraktijk aan: de bewerkersovereenkomst. Het is ons meest verkochte product, maar ik zou een goede fles wijn opentrekken als ik er nooit meer eentje hoefde te maken of reviewen. Weg met dat prutsdocument.
Dat het ding eigenlijk verwerkINGs-overeenkomst moet heten - we hebben toch ook geen arbeidersovereenkomst of huurderscontracten - laat ik maar even voor wat het is. Veel belangrijker is dat de bewerkersovereenkomst, of straks onder de AVG de verwerkersovereenkomst, in de ICT-contractspraktijk standaard wordt ingezet op een manier die volledig tegen het doel van het ding ingaat.
De kern van het probleem zit in wat Huydecoper mooi schetst: nadat partijen na stevig onderhandelen met een mooie maatwerkregeling komen voor dienstverlening, probleemoplossing en aansprakelijkheid komt daar even een bedrijfsjurist of privacy officer tussendoor met een zéér eenzijdige bewerkersovereenkomst. Risico's worden bij de leverancier gekwakt, aansprakelijkheid dient onbeperkt te zijn en een vrijwaring voor boetes (bij voorkeur met een opslag) is natuurlijk standaard.
Dit doorkruist volledig de gehele uitkomst van de onderhandelingen en zorgt in mijn ervaring voor veel frustratie - bij beide partijen, want vaak weet de businessverantwoordelijke van de klant ook eigenlijk niet waarom dat document nodig is. Nog los van de vraag hoe en of strijd tussen BO en contractuele maatwerkclausules zou moeten worden opgelost, of de SLA geldt op het aanpakken van bugs of storingen met privacyaspecten en ga zo maar door.
Als reden voor dit probleem zie ik dat de bewerkersovereenkomst wordt gezien als een ander instrument, afkomstig uit een andere juridische tak van sport. Toevoegen daarvan is dan een stukje compliance, omdat het moet van de wet. De contractsjurist heeft niet altijd de specifieke kennis in huis om de privacyaspecten van de dienst net zo goed te regelen als beschikbaarheid, foutherstel of aansprakelijkheid voor storingen. Of de tijd ontbreekt om het model aan te passen aan de specifieke deal. Of zijn organisatie vereist bij privacyzaken het inschakelen van een aparte privacy officer of externe juridisch adviseur, die vervolgens met een standaardmodel komt.
Wat ook de reden is, het gevolg is dat er ineens twéé overeenkomsten liggen voor de ICT-dienst die wordt afgenomen. En omdat de bewerkersovereenkomst meestal pas redelijk laat in het onderhandelingstraject in beeld komt, is er weinig puf meer om deze nog eens net zo goed onder handen te nemen als de inkoop- of leveringsvoorwaarden waar al eerder over gestoeid is. Wat wel zou moeten, gezien een bewerkersovereenkomst in feite een compleet openbreken van de onderhandelingen is, iets dat normaal zo laat in het traject bepaald ongepast gevonden zou worden.
Tel daarbij op dat aanpassingen aan een bewerkersovereenkomst dan ook nog eens vaak goedgekeurd moeten worden door die niet bij de deal betrokken privacy officer, externe jurist of de afdeling Compliance - en die zeggen vanuit hun perspectief volkomen logischerwijs njet tegen terugschroeven van verantwoordelijkheden - en de uitkomst is zeer begrijpelijk.
Dit moet anders, want zo streven we het hele doel van de bewerkersovereenkomst voorbij. Als dit document verworden is tot een gedachteloos toe te voegen addendum dat geen rekening houdt met de door partijen werkelijk gewilde afspraken over hun respectieve rechten en plichten, dan zal het ook geen sikkepit bijdragen aan de privacy van de betrokken personen.
Waarom wérken we eigenlijk nog steeds met die aparte documenten? Noch de Richtlijn, noch de Wbp, noch de AVG vereisen een apart document. De enige basis die ik heb kunnen vinden, is een zijdelingse opmerking in de Memorie van Toelichting dat een apart contract helpt de verplichtingen expliciet uit te drukken. Anno 2017 lijkt me dat nauwelijks nog een relevante motivatie.
Het doel van een be- of straks verwerkersovereenkomst is het regelen van de relatie tussen bewerker, pardon vérwerker en verwerkingsverantwoordelijke (artikel 28 lid 3 AVG). Er is echter geen eis in de AVG te vinden dat de verwerkersovereenkomst apart wordt gesloten - men spreekt expliciet van "overeenkomst of andere rechtshandeling" (bijvoorbeeld in lid 9 dat wél een schriftelijkheidseis introduceert). De AVG noemt daarbij allerlei zaken die moeten worden geregeld tussen verwerker en verwerkingsverantwoordelijke, maar (zoals Huydecoper ook al zegt) het gaat er eigenlijk juist om dat partijen het uitwerken.
Een nieuw aspect van de AVG is privacy by design: de voor verwerking gebruikte mechanismen zo ontwerpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. Een ICT-systeem moet dus zorgen voor het afschermen van persoonsgegevens, beveiliging vanaf de grond mee ontworpen krijgen en faciliteren dat inzage, correctie et cetera eenvoudig mogelijk blijken.
Dit principe zou wat mij betreft zonder meer toepasbaar moeten worden op de verwerkersovereenkomst. Beter gezegd: bij het AVG-compliant maken van de ICT-overeenkomst. Geen rituele bezwering dat passende technische en organisatorische maatregelen dienen te worden getroffen om een op het risico afgestemd beveiligingsniveau te waarborgen, maar een uitwerking van wat dat nu betekent bij deze SaaS-dienst, cloudopslag of app-ontwikkeling, bijvoorbeeld in een securityprotocol of het programma van eisen. Niet slechts bepalen dat de verwerker datalekken onverwijld oftewel zonder onredelijke vertraging gedocumenteerd zal melden, maar een procedure in de SLA. En ga zo maar door. De verwerkersovereenkomst is dus eigenlijk geen klakkeloos toe te voegen model, maar een raamwerk dat partijen samen in moeten vullen.
Ik snap dat dit een zeer lang gedragen praktijk is, waar we niet zomaar even vanaf kunnen stappen. Maar er dient zich een mooi moment aan om wél die breuk te maken met het verleden. Op 25 mei 2018 wordt de AVG van kracht. Nieuw recht, nieuwe kansen en nieuwe contractuele voorwaarden.
Daarom zeg ik: laten we vanaf 25 mei volgend jaar -als de AVG van kracht wordt- afspreken géén aparte verwerkersovereenkomsten meer opstellen, maar er voor zorgen dat onze contracten, SLA's en algemene voorwaarden óók privacy by design zijn.
Arnoud Engelfriet