Avg: inhoudelijke afspraken boven juridisch proza
Onlangs was ik uitgenodigd bij een lid-bedrijf om een presentatie te houden over de Avg (de Algemene verordening gegevensbescherming, oftewel de GDPR). De genodigden waren voornamelijk vertegenwoordigers uit de overheid, het thema was data governance en hoe je de Avg moet implementeren. Er viel mij een aantal dingen op.
Onbewust Onbekend
Tot een maand of wat geleden trok dit soort bijeenkomsten over privacy een handjevol mensen. Maar sinds het begin van de zomer is het besef dat er ‘iets’ moet met die Avg blijkbaar ineens doorgedrongen: de zalen zitten vol. We komen van de fase ‘Onbewust Onbekend’ nu toch echt in de fase ‘Bewust Onbekend’. Maar ook deze middag bleek weer dat de weg naar ‘Bewust Bekend’, en zeker naar ‘Onbewust Bekend’ nog een lange is.
Borgen van privacy
Het is eigenlijk schokkend dat de sprekers het allemaal blijkbaar gewoon vinden dat ze tegenover een zaal staan die nog moet beginnen aan privacy-compliance. En dat terwijl die wetgeving in de basis al bijna dertig jaar bestaat! Bij een zaal vol kleine bedrijfjes kan ik daar nog wel enig begrip voor opbrengen. Maar bij een zaal vol overheidsdienaren, de goede niet te na gesproken, verwacht ik toch een groter plichtsbesef om het grondrecht privacy te willen borgen.
Verwerkersovereenkomst
Het onderwerp van mijn presentatie was welke afspraken gemaakt moeten worden met je ICT-leverancier. Dan heb je het eigenlijk over de bewerkersovereenkomst, of – in de Avg-terminologie – de verwerkersovereenkomst. De Avg bevat een veel uitgebreidere lijst met onderwerpen waarover afspraken gemaakt moeten worden in zo’n verwerkersovereenkomst. Binnenkort zullen we daaraan uitgebreid aandacht besteden in de Avg-nieuwsbrief en een Avg-proof voorbeeld bewerkersovereenkomst ter beschikking stellen aan leden.
Avg = afspraken over de inhoud
Wat opvalt aan dat lijstje onderwerpen is dat het veel over inhoud gaat: wat is het onderwerp en de aard van de verwerking, wat is de duur, welke soorten en categorieën gegevens worden verwerkt, hoe gaat de verwerker de verantwoordelijke bijstaan bij inzageverzoeken of datalekken en welke audit-rechten spreek je af.
Concrete antwoorden
De meeste bewerkersovereenkomsten die ik zie, bevatten voornamelijk veel wollig juridisch proza. Neem nu de ARBIT-voorwaarden. Die reppen over ‘passende technische en organisatorische maatregelen’ en de plicht om op ‘behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving’ persoonsgegevens te verwerken. Eigenlijk hebben ze de open normen uit de huidige wet overgeschreven.
Maar hoe ga je nu beveiligen? En wat is er passend? Welke gegevens gaat het eigenlijk om? Allemaal vragen waarop de verantwoordelijke een antwoord moet hebben. Concreet. Inhoudelijk.
Win-win
Met dergelijke wollige juridische frases wordt weliswaar het juridische risico bij de wederpartij neergelegd, maar de vraag is of je dan als verantwoordelijke wel compliant bent. De tekst van de Avg doet vermoeden van niet. Die laat zien dat het veel meer om de inhoud gaat: wat spreken we met elkaar af, en niet alleen maar ‘wie krijgt de zwartepiet als het mis gaat’.
Dit vergt overleg. De verantwoordelijke moet aangeven om wat voor gegevens het gaat, met welk doel die verwerkt worden en welke risico’s hij ziet. De verwerker kan dan beter adviseren over welke producten, beveiliging en werkwijze daar het beste bij passen. Een win-win voor beide partijen.
