Weg met knellende verwerkerscontracten
We kunnen de grachten van Amsterdam inmiddels dempen met verwerkerscontracten. Met de komst van het nieuwe Europese privacyrecht in mei 2018 heeft Jan en alleman zich gestort op het schrijven, beoordelen en uitonderhandelen van deze documenten. 'Heeft de tsunami van verwerkerscontracten onze samenleving ondertussen nou echt mooier en veiliger gemaakt? Ik waag het stevig te betwijfelen.'
Beeld: Free-Photos / Pixabay
In groten getale worden verwerkerscontracten – te pas en te onpas – bij bedrijven en organisaties naar binnen geschoven. Vrolijk aangevoerd door een goedverdienende industrie van juristen en consultants worden deze contracten als het ultieme instrument van privacybescherming op het bordje van bestuurders gepresenteerd.
JurisPrudent
Door de toenemende verkokering van ons rechtsstelsel sluiten wetten tegenwoordig zelden naadloos op elkaar aan. En daarmee zadelt nieuwe regelgeving de samenleving op met nieuwe, lastige onzekerheden. Peter van Schelven neemt in iBestuur magazine juridische dilemma’s onder de loep. Deze keer: een tsunami van verwerkerscontracten.
Zou je het mij vragen, dan zou het verschijnsel verwerkerscontract volledig verbannen mogen worden. Weg ermee! Weg met die verkwistende, nutteloze en irritante speeltjes die niet veel meer dan schijnzekerheid bieden en nul-komma-nul bijdragen aan uw en mijn privacy. Uiteraard kan ik er niet omheen dat de Algemene Verordening Gegevensbescherming (AVG) in een aantal situaties tot het sluiten van zo’n verwerkerscontract verplicht. Maar heeft de tsunami van verwerkerscontracten onze samenleving ondertussen nou echt mooier en veiliger gemaakt? Ik waag het stevig te betwijfelen. Een contractje meer of minder biedt maar nauwelijks effectief tegenwicht aan de invasieve expansiedrift van de informatietechnologie en het vormt ook geen recept tegen een overheid die in de omgang met persoonsgegevens steeds minder betrouwbaar wordt. Het verwerkerscontract is speelgoed voor iedereen die gelooft dat je, met het oog op een sterkere bescherming van persoonsgegevens, door middel van enkele fraaie volzinnen in een contracttekstje machtsverhoudingen tussen contractspartijen naar je hand zou kunnen zetten. Bent u van die geloofsrichting? Ikzelf heb niets met dergelijke placebo’s.
Privacy of geld?
Het is zelfs erger. De contractpraktijk laat inmiddels omstandig zien dat verwerkerscontracten niet zozeer worden aangegaan om het legitieme belang van de privacybescherming en de daaraan verbonden security te bevorderen, maar vooral om financiële risico’s van de ene naar de andere partij over te hevelen. Het gaat daarbij om geld, niet om privacy. Niet zelden resulteert dat in langdurige, weerbarstige en relatieverziekende contractonderhandelingen. Verwerkerscontracten dragen in die zin bij aan een zekere mate van ‘distrust’ tussen onderhandelende contractspartijen. In al zijn naïviteit heeft de Europese wetgever bij het maken van regels over verwerkerscontracten dat effect ongetwijfeld niet voor ogen gehad.
Een voorbeeldje. Onze Rijksoverheid heeft in 2018 als aanvulling op ARBIT, haar veelgebruikte inkoopvoorwaarden voor ICT-producten en -diensten, een modelverwerkersovereenkomst gepubliceerd. Een keurig lapje tekst, met de punten en komma’s op de juiste plek. Het venijn zit ‘m vooral in de financiële paragraaf die daarover in de ARBIT is opgenomen. Stel, u exploiteert een tweemansbedrijfje dat op SaaS-basis fraaie en tamelijk goedkope functionaliteit aan een overheidsinstantie levert. Volgens de contractuele afspraken kost de deal de overheid 8.000 euro op jaarbasis. Uw winstmarge van het contractje is jaarlijks ongeveer de helft ervan, zo’n 4.000 euro. Een schijntje dus. Omdat de AVG u als ‘verwerker’ ziet, heeft u naast het inkoopcontract met de ARBIT-voorwaarden tevens het modelverwerkerscontract met de overheid getekend. Zonder uw handtekening onder dat contract zou u immers geen zaken met de desbetreffende overheidsinstantie kunnen doen.
Gaten in de security
Het is algemeen bekend: technische beveiliging van persoonsgegevens is nooit volledig waterdicht. 100 procent security is een illusie. In het onfortuinlijke geval dat de technische security van uw SaaS-bedrijfje, ondanks alle aandacht die u hieraan hebt gegeven, op enig moment toch onvoldoende blijkt en er daardoor bakken vol persoonsgegevens ongewild op straat belanden, dan loopt uw klant – de overheidsinstantie – de kwade kans dat de Autoriteit Persoonsgegevens haar met enkele tonnen euro’s boete opzadelt. Wat zeggen de contractuele voorwaarden van de Rijksoverheid over dat financiële risico? Zonder enig gevoel voor verhoudingen wordt dat risico integraal naar het bordje van u als kleine SaaS-provider doorgeschoven. De verwerkersovereenkomst van de Rijksoverheid en de inkoopvoorwaarden uit ARBIT houden u voor alle financiële ellende ten volle aansprakelijk. Zo wordt u in wezen ‘bevorderd’ van welwillend SaaS-bedrijfje tot quasiverzekeraar van de Rijksoverheid. Met dank aan het privacyrecht! Met dank aan het verwerkerscontract!
Dat kan in alle redelijkheid toch niet de bedoeling zijn? Het bedrijfsleven is uiteraard niet gebaat met wurgvoorwaarden van die strekking en uiteindelijk ook de overheid, die zegt behoefte te hebben aan innovatieve ICT-oplossingen, zelf ook niet. Je krapt je als bedrijfje dus wel zes keer achter de oren alvorens zo’n contractje aan te gaan. En voor de goede orde: dit probleem is niet uniek voor de publieke sector. Ook opdrachtgevers in de private sector trachten in hun verwerkerscontracten meer dan eens financiële risico’s af te wentelen op hun Cloud Providers en andere dienstverleners.
Beknelde middenstander?
Het onderwerp van de wanverhouding tussen de grote en machtige Rijksoverheid en kleine ICT-dienstverleners die gemangeld worden door het nieuwe modelverwerkerscontract heeft binnen de Rijksoverheid inmiddels – terecht – enige aandacht gekregen. Naar het nu lijkt echter nog heel terughoudend. Een tripartiet overleg van het georganiseerde mkb-bedrijfsleven, de overheid en de Autoriteit Persoonsgegevens over dit concrete onderwerp lijkt aangewezen. Het zou constructief zijn als ook de Autoriteit Persoonsgegevens hierbij grote wijsheid en gevoel voor verhoudingen zou tonen. Mag ik de vrienden en vriendinnen van de AP daartoe oproepen? Want wees nou eerlijk: we zouden toch ook niet moeten willen dat onze Rijksoverheid zelf als ‘beknelde middenstander’ tussen de AP en marktpartijen komt te zitten? Dus: werk aan de winkel!
Dit artikel staat ook in iBestuur magazine 33