Mag je onder de AVG verwerkersafspraken ook vastleggen in de algemene voorwaarden?

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Met enige regelmaat kom ik verwerkers tegen die de elementen van een verwerkersovereenkomst hebben ‘verstopt’ in de algemene voorwaarden. Dit kan toch niet zomaar? Het gaat hier om een document waar de verwerker volledige controle op heeft en kan/mag aanpassen naar wens. Mijns inziens is dan de grip van de verantwoordelijke zo goed als verdwenen en schieten we compleet de plank mis. Klopt dat?

Antwoord: De verwerkersovereenkomst is een raar ding, dat veel aandacht onder de AVG heeft gekregen. Het probleem is een beetje dat het eigenlijk gaat om een set afspraken “hoe houden we ons samen aan de AVG”, maar dat in de wet het opgeschreven is als “schrijf in een document op hoe je je samen aan de AVG gaat houden”.

Een van de rare uitvloeisels daarvan is dat iedereen op zijn eigen manier de verwerkersafspraken vastlegt. Zoals ook hier bij de vraagsteller. Zoek je de verwerkersovereenkomst, staat die in de algemene voorwaarden. Soms wel netjes als apart hoofdstuk, soms als apart genummerd artikel 17, maar soms moet je echt de bepalingen bij elkaar sprokkelen.

Is dat fout? Nee, niet perse. De AVG eist alleen dat je de afspraken schriftelijk vastlegt, niet dat het in één document gebeurt, of zelfs maar dat je dit “Verwerkersovereenkomst” noemt. Er is dus niets mis met je verwerkersafspraken verdelen over offerte, SLA en algemene voorwaarden. Althans, niet meer dan wat er gewóón mis is met afspraken verdelen over allerlei documenten, namelijk dat je dan een rommeltje krijgt. Maar als dat werkbaar genoeg is, dan is dat juridisch prima.

Blijft over het punt dat een verwerker zo heel eenzijdig kan contracteren, en zelfs (via het AV-wijzigingsbeding, dat er wel in moet staan natuurlijk) de verwerkersbepalingen kan bijschaven als dat nodig blijkt te zijn. Ik geef toe, dat is raar – maar menig verwerkingsverantwoordelijke doet precies hetzelfde wanneer ze hun “standaard voorwaarden” opsturen en verwachten dat de verwerker zonder problemen tekent.

De juridische theorie verlangt dat de partijen samen gaan zitten, hun aandachtspunten voor de verwerking nalopen en bespreken, en de uitkomst van die bespreking netjes gezamenlijk vastleggen. In de praktijk zie vaak dat een partij dicteert hoe het zal zijn, en de ander maar tekent om er vanaf te zijn (denk ik dan maar). Ook dat kan dus niet. Je moet het onderling afstemmen, klopt dit, is dit hoe wij willen werken. Maar veel organisaties kunnen daar niet goed mee omgaan.

Vanuit dat gezichtspunt is het wel begrijpelijk dat een grote verwerker zegt, ik schrijf op hoe ik werk en daar hebben ze het mee te doen. Dat is dan maar de second-best optie, en aangenomen dat de klant dan nog adequaat inzicht krijgt in wat er gebeurt en de verwerker niet elke dag alles helemaal om mag gooien, lijkt me dat in ieder geval binnen de geest van de AVG.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.