Recent stelde "Peter van Schelven":https://ibestuur.nl/magazine/weg-met-knellende-verwerkerscontracten in een bijdrage voor iBestuur nut, noodzaak en wenselijkheid van veel verwerkersovereenkomsten aan de orde. Walter van Holst vindt dat het betoog van Van Schelven ontspoort in het aan de kaak stellen van een schijnprobleem: dat van de (kleine) ICT-leverancier die in de knel zou raken door de aansprakelijkheidsverdeling tussen verwerkingsverantwoordelijke en verwerker.
Beeld: Narcis Ciocan / Pixabay
Om de ui goed af te pellen moet eerst duidelijk zijn wélke aansprakelijkheid overgeheveld zou worden. En dat is in de relatie tussen een verwerker en een verwerkingsverantwoordelijke een tweeledige: enerzijds kan bij bijvoorbeeld een datalek een aansprakelijkheid jegens de betrokkenen ontstaan en anderzijds kan er een situatie ontstaan waarin de toezichthouder, de Autoriteit Persoonsgegevens (AP), naar het boetewapen grijpt.
Over de eerste aansprakelijkheid wordt erg weinig gediscussieerd, ook al wordt die vaak met één rücksichtlose vrijwaringsbepaling geregeld. Een wat overbodige bepaling, want het gaat om een aansprakelijkheid die zich niet weg laat contracteren. Het is nu eenmaal al wettelijk geregeld in artikel 82 van de Algemene Verordening Gegevensverwerking (AVG) dat een verwerkingsverantwoordelijke en verwerker hoofdelijk aansprakelijk zijn voor schade van een betrokkene. Waarbij ook nog de interne aansprakelijkheidsverdeling tussen verwerkingsverantwoordelijke en verwerker(s) is geregeld. Enigszins vereenvoudigd gesteld: een verwerkingsverantwoordelijke kan de eventuele schadevergoeding aan betrokkenen niet op een verwerker afwentelen zolang de verwerker zich aan zijn eigen verplichtingen uit hoofde van de AVG heeft gehouden én de instructies van de verwerkingsverantwoordelijke heeft opgevolgd. En enige ruimte om daar omheen te contracteren wordt niet gegeven in de AVG. Dus ja, op dit punt zijn veel verwerkersovereenkomsten nutteloos papier.
De tweede aansprakelijkheid is onderwerp van de kern van het betoog van Peter van Schelven: verwerkingsverantwoordelijken accepteren over het algemeen niet dat zij beboet kunnen worden voor fouten van een verwerker die zij hebben ingehuurd. Uit principiële overwegingen niet, maar ook uit bestuurlijk-politieke overwegingen. Want de impact van zo’n boete omvat ook die dimensie, los van de hoogte van de boete, bestuurders willen niet in het nieuws komen met een boete. Daarbij vindt Van Schelven dat de hoogte van zo’n boete buitenproportioneel kan zijn ten opzichte van de winstmarge van de verwerkende ICT-leverancier. En daar lijkt hij meerdere impliciete aannames te doen.
Om te beginnen doet hij de aanname dat een verwerkingsverantwoordelijke beboet zal worden voor een fout van een verwerker. Hoewel het wat in de term verwerkingsverantwoordelijke besloten lijkt te liggen weten we nog lang niet zeker of de AP altijd de verwerkingsverantwoordelijke zal aanspreken bij fouten van diens verwerker(s). Het is uiteindelijk aan de AP om hierover te beslissen en zeker in constellaties waarin dezelfde verwerker veel verwerkingsverantwoordelijken bedient zal het best voor kunnen komen dat de AP rechtstreeks deze verwerker zal beboeten. Die kans is natuurlijk groter als de verwerker de op hem rustende verplichtingen uit de AVG overtreedt. En dan zal een dergelijke verwerker die boete hoe dan ook moeten incasseren. Het goede nieuws voor de kleinere verwerkers is dat de AP bij het opleggen van boetes rekening moet houden met de draagkracht van de organisatie.
Elftal factoren
De andere aanname is dat het sowieso mogelijk is om aansprakelijkheid voor boetes van de AP uit te sluiten. Wie de boeterichtlijnen van de AP en de European Data Protection Board (ten tijde van de publicatie nog de Artikel 29 Werkgroep) er bij zal pakken, die ziet dat een elftal factoren de hoogte van de boete mede bepalen. Van die elf zijn er vijf die te maken hebben met het gedrag van de gesanctioneerde ná het ontstaan van de inbreuk die aanleiding geeft tot het opleggen van de boete. Van de resterende zes zijn er vier die (deels) wat minder in de invloedssfeer van de verwerker liggen, namelijk het karakter van de verwerking en of er sprake is van bijzondere categorieën van persoonsgegevens. Al met al zal het boetewapen vooral daar ingezet worden waar gesproken kan worden over opzet of nalatigheid, direct of indirect, óf het onder het tapijt vegen van eigen fouten nadat die ontdekt zijn. Dat betekent dat in die gevallen er sprake zal zijn van een mogelijke doorbreking van contractueel vastgelegde aansprakelijkheidsbeperkingen, al dan niet in de verwerkersovereenkomst. In het overgrote deel van de gevallen waarin een boete wordt opgelegd aan één van de partijen waarbij de oorzaak bij de andere partij ligt, zal het ongeacht wat partijen zijn overeengekomen over de aansprakelijkheid voor boetes, mogelijk zijn die boete geheel of gedeeltelijk op de boeteveroorzakende partij te verhalen.
Praten over de aansprakelijkheid voor boetes uit hoofde van de AVG is een beetje als praten over het weer
Dat in ogenschouw genomen, is een vermeend groot probleem helemaal niet zo’n groot probleem. Of liever, niet iets waar eeuwig steggelen over wie de boete zou moeten absorberen zin heeft. Mijn mening is dat de verwerkersovereenkomst helemaal niets hoeft te regelen over boetes of aansprakelijkheden en dat de hoofdovereenkomst doorgaans zal volstaan. Het enige wat in dit kader nut heeft om in een verwerkersovereenkomst is te regelen dat partijen elkaar bij zullen staan in eventuele bezwaar- en beroepsprocedures tegen de AP en dat benutten van die bezwaar- en beroepsprocedures een vereiste moeten zijn voor het kunnen verhalen van boetes op elkaar. Dit omdat klassieke privaatrechtelijke vrijwaringsbepalingen zich slecht lenen voor de bestuursprocesrechtelijke situatie waarin een verwerkingsverantwoordelijke en/of een verwerker zich bevindt als er sprake is van handhaving door de AP. Kort gezegd: een contractspartij van een beboete partij is niet vanzelfsprekend belanghebbende (in de juridische zin van het woord) in de discussie met de AP, ook al is langs privaatrechtelijke weg vastgelegd dat deze een deel van de boete zal absorberen. Dat betekent dat de contractspartij niet altijd in bezwaar of beroep kan gaan tegen een boetebesluit van de AP omdat die een afgeleid, en geen direct (eigen of algemeen) belang heeft bij de kwestie. Hoofdregel is dat een derde die een belang aan een contractuele relatie ontleent geen belanghebbende in bestuursrechtelijke zin is. Verwerkersovereenkomsten die hier rekening mee houden zijn betrekkelijk zeldzaam in de modellen voor verwerkersovereenkomsten die in de praktijk worden gehanteerd.
Overigens, in lijn met mijn eerdere stelling dat er aangesloten moet worden bij de hoofdovereenkomst, is het maar de vraag of er werkelijk aparte verwerkersovereenkomsten gesloten moeten worden. De AP heeft dit standpunt altijd ingenomen ten tijde van de Wet bescherming persoonsgegevens (Wbp), maar dit was een specifiek Nederlands standpunt. De AVG is een Europese verordening die minder flexibel is dan de voorafgaande richtlijn waar de Wbp op was gebaseerd. Nergens in de AVG of de Uitvoeringswet AVG (UAVG) zijn aanknopingspunten te ontdekken voor deze eerdere interpretatie van de AP. Dat betekent dat het apart uitonderhandelen van dit onderwerp eigenlijk alleen nog maar zin heeft als de bestaande afspraken niet voldoen aan de AVG. Dat is iets waarvan in 2020 te hopen valt dat dit niet meer voorkomt. Dus ja, weg met de verwerkersovereenkomsten. Maar niet zozeer omdat ze knellen, maar omdat het gaat om zaken die je eerder al geregeld had moeten willen.
‘Weerpraat’
De conclusie is dan ook: praten over de aansprakelijkheid voor boetes uit hoofde van de AVG is een beetje als praten over het weer. Het vult tijd en heeft geen werkelijke invloed op de uitkomsten. Verwerkers die echt bang zijn voor boetes van de AP kunnen beter aan de bak om de informatiebeveiliging naar een hoger plan te tillen. En vooral ook de incident response in de organisatie, op alle vlakken, te verbeteren. Dat zet meer zoden aan de dijk om dit risico beheersbaar te maken dan het op de verwerkingsverantwoordelijke afnemer proberen af te schuiven. En misschien ook strategische keuzes maken in de klanten die men wil bedienen. Wie als ICT-leverancier iets betekent voor advocatenkantoren, huisartsenmaatschappen en salarisadministrateurs zal echt uit een ander vaatje moeten tappen dan een die zich richt op groothandelaren in levensmiddelen. Idem voor ICT-leveranciers die in de publieke sector actief zijn. Dat daarmee niet iedere markt toegankelijk zal zijn voor de hele kleine leveranciers en of dat erg is, dat is stof voor een andere discussie.
Walter van Holst is senior adviseur bij Hooghiemstra & Partners en schreef deze bijdrage op persoonlijke titel
Hallo Walter, dank voor deze treffende bijdrage; de spijker op zijn kop. Daarbij komt dat veel partijen onder het mom van de AVG het proberen om in de verwerkingsovereenkomst de aansprakelijkheden volledig om te gooien zonder passende aanpassing van de hoofdvoorwaarden (lees: prijs). Dat is niet acceptabel. Wij leveren als ICT leverancier de ‘verwerkersovereenkomst’ als bijlage bij de hoofdovereenkomst. Op zichzelf is het hebben van een document, waarin de afspraken inzake het verwerken van gegevens en het afhandelen van incidenten gericht beschreven staat, wel nuttig. Om die noodzaak, vooral ook bij lopende contracten, nog eens te benadrukken heeft de AP waarschijnlijk gekozen voor aansturing op een aparte overeenkomst.