ZBC Kennisbank

De gevolgen van de AVG 2018 voor bewerkers

 

Natuurlijk weet je inmiddels, dat je vanaf mei 2018 moet voldoen aan de Europese Privacy Verordening (AVG). De boetes op overtredingen gaan vanaf die datum nog verder omhoog, tot wel een paar miljoen. Dat betekent echter niet, dat je je als bewerker zorgen moet maken. De kans dat jouw bedrijf een boete krijgt, is bijzonder klein en je loopt dat risico alleen, als je het heel bont maakt.

Voor je klanten ligt dit echter anders. Zij zijn degenen die primair verantwoordelijk zijn voor de bescherming van persoonsgegevens. Het risico dat zij een boete krijgen is ook niet heel groot, maar het is wel zo dat de media gek zijn op privacy incidenten. Dat betekent voor je klanten, dat de kans op reputatieschade aanzienlijk is. Dat geldt zeker voor overheden, zorginstellingen en financiële instellingen. En je klanten lopen dat risico niet alleen door eigen fouten, maar ook door stommiteiten die hun bewerkers* uithalen. Want ze zijn verantwoordelijk. Natuurlijk willen ze dit risico afdekken. Precies dat is in feite het grootste gevolg van de AVG voor bewerkers.

*De AVG spreekt over verwerker. In Nederland is echter het woord bewerker ingeburgerd. De beide termen zijn volledig synoniem. Wij gebruiken ze in het vervolg van dit artikel door elkaar.

Wie zijn eigenlijk bewerkers?

Laten we even bij het begin beginnen en de belangrijkste begrippen definiëren, die voor bewerkers van toepassing zijn. Verwerking van persoonsgegevens omvat de volgende handelingen:

verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen. Het maakt daarbij niet uit of het proces wel of niet geautomatiseerd plaats vindt.

De AVG onderkent drie partijen als het gaat om privacy:

de betrokkene: een natuurlijke persoon van wie gegevens worden verwerkt;
• de verantwoordelijke: de partij die eindverantwoordelijk is voor de verwerking van persoonsgegevens;
• de bewerker, degene die namens de verantwoordelijke persoonsgegevens verwerkt.

De eisen die aan de bewerker gesteld worden, zijn vastgelegd in de bewerkersovereenkomst en de verantwoordelijke dient de naleving van die bewerkersovereenkomst te controleren. Dat betekent dat bijna iedere organisatie die diensten verleent aan andere organisaties aangemerkt wordt als bewerker. Want een partij die diensten levert, doet vrijwel altijd iets met persoonsgegevens. Voor call centers, datacenters, administratiekantoren, marketingbureaus, aanbieders van hostingdiensten of ICT beheer, salarisverwerkers enzovoort is dit evident. Maar ook de schoonmakers die de papierbakken (met waarschijnlijk persoonsgegevens) opruimen, zijn te beschouwen als bewerker.
Zolang er geen bewerkersovereenkomst ligt, is je klant verantwoordelijk voor eventuele stommiteiten die jij als bewerker uithaalt en heb jezelf eigenlijk alleen te maken met de AVG, als het gaat om je eigen medewerkerdossiers en je klantenbestand. Voor deze zaken is er geen verschil tussen de oude Wbp en de nieuwe AVG.

Het doel van een bewerkersovereenkomst

Het nieuwe van de AVG zit in de eisen die de AVG stelt aan de uitbesteding van verwerking aan bewerkers. De AVG zegt hierover in art 28 lid 1:

“Wanneer een verwerking namens de verantwoordelijke wordt verricht, doet de verantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden, opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.”

In de praktijk zal dit betekenen, dat je voor sommige klanten ellenlange vragenlijsten moet invullen voor ze zaken met je willen doen. Natuurlijk doen je klanten dit om zich juridisch in te dekken. Ze zijn vaak nauwelijks geïnteresseerd in de antwoorden die je geeft. Dus ook het antwoord ‘niet van toepassing’ is een geldig antwoord, want je krijgt nu een maal een algemene vragenlijst, die voor iedere leverancier geldt.
Vervolgens zwaaien veel klanten met een bewerkersovereenkomst die je moet tekenen. Ook dat is verplicht vanwege art 28 lid 3:

“De verwerking door een verwerker wordt geregeld in een overeenkomst die de verwerker ten aanzien van de verantwoordelijke bindt.”

In zo’n overeenkomst staat beschreven aan welke eisen je als bewerker moet voldoen en welke maatregelen je moet treffen om persoonsgegevens te beschermen. Als een verantwoordelijke kan aantonen dat de bewerker gecontroleerd is op de naleving van die maatregelen, dan kan hij de bewerker aansprakelijk stellen in geval van privacy incidenten die worden veroorzaakt door nalatigheid van die bewerker.

De betekenis voor de bewerker in de praktijk

Natuurlijk is het begrijpelijk dat klanten zich willen indekken. Het is hen ingefluisterd door toezichthouders, juristen en consultants, die dreigen met het risico op torenhoge boetes en reputatieschade.
Bewerkers worden hierdoor dus opgezadeld met soms ellenlange vragenlijsten en met bewerkersovereenkomsten waarvan de honden geen brood lusten. En natuurlijk eist iedere klant weer wat anders. Daardoor dreigt de standaardisatie te verdwijnen, die je als bewerker misschien hebt doorgevoerd en waardoor je juist een interessante aanbieder bent voor je klant. Als bewerker heb je ook nog eens te maken met veel klanten, misschien wel tientallen of honderden. Stel je voor, dat die allemaal langskomen om te controleren of je de bewerkersovereenkomst wel naleeft. Daar zit je natuurlijk niet op te wachten. Maar als je hiermee niet akkoord gaat, dan haal je met name de grotere klanten vaak niet meer binnen of je bestaande klanten lopen weg. Zij willen immers ook hun risico’s, voortvloeiend uit de AVG, afdekken. Ze zullen op zoek gaan naar bewerkers die wel aan hun eisen voldoen. Om je concurrentiepositie te behouden zul je in moeten spelen op de behoefte van je klanten en potentiele klanten.
Het betekent echter niet dat je lijdzaam het bovenstaande verhaal moet ondergaan. Je kunt ook zelf het heft in handen nemen en zo je concurrentiepositie versterken.

Proactief inspelen op de AVG

Kort gezegd, je klanten zijn dus verplicht bewerkers te zoeken die kunnen garanderen, dat hun gegevens in veilige handen zijn en er moet een bewerkersovereenkomst zijn die gecontroleerd dient te worden, zodat zij bij fouten geen boete krijgen, maar hun bewerkers aansprakelijk kunnen stellen. Als bewerker echter, wil je natuurlijk die boete ook niet krijgen.
De eenvoudigste oplossing voor dit probleem is het halen van een ISO 27001 certificaat of in de zorg een NEN 7510 certificaat. Daarmee bied je een afdoende garantie aan klanten, dat je bij het beschermen van hun persoonsgegevens voldoet aan de norm en dus hun gegevens adequaat beschermt. De bewerkersovereenkomst wordt gebaseerd op dat certificaat. Jaarlijks komt een externe auditor langs om te controleren of je de norm naleeft. Kortom, de klant is verlost van zijn verplichtingen tot controle uit de AVG. Bovendien is zo’n certificaat een ‘in control’ verklaring, zodat als er toch iets misgaat, jij die boete ook niet krijgt. En omdat de bewerkersovereenkomst op die manier een soort eigenschap van je dienst is geworden, kan je dienst gewoon standaard blijven, zodat je flexibel en efficiënt kunt blijven.
Gelukkig is het halen van zo’n ISO 27001 of NEN 7510 certificaat voor bewerkers tegenwoordig niet zo duur en tijdrovend meer, want deze normen zijn nu risk based. Dat betekent dat ze je helpen om je belangrijkste risico’s af te dekken. En je belangrijkste risico is natuurlijk, dat klanten weglopen of niet meer binnengehaald worden. De scope van het certificaat kan voor bewerkers dan ook beperkt gehouden worden. Het gaat om de dienstverlening aan klanten, waarbij je als bewerker verantwoordelijk bent voor een verwerking van de data van die klanten. De klant zal hier tevreden mee zijn, want hij kan nu immers aantonen, dat hij in zee is gegaan met een leverancier die voldoende maatregelen getroffen heeft om te voorkomen, dat zijn persoonsgegevens op straat komen te liggen. Meer over zo’n aanpak om een certificaat te verkrijgen staat in ‘Binnen drie maanden een ISO 27001 certificaat halen’ en ‘Pragmatische aanpak informatiebeveiliging’.
Afwachten tot het overwaait is niet echt handig. Je klanten zullen zich steeds meer in willen dekken en dan moet je je in 1000 bochten wringen om ze tevreden te houden en zullen je kosten alleen maar oplopen. Een eenmalige investering in een certificaat is dan toch voordeliger.

ZBC helpt organisaties via coaching of cursussen om privacy vraagstukken op te lossen en hun informatiebeveiliging conform ISO 27001 of NEN 7510 te verbeteren en daarvoor gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 14 april 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *