08 feb Digitale bureaus en de verwerkersovereenkomst
De verwerkersovereenkomst is natuurlijk een gek ding. Vooral nu de tijd dringt met betrekking tot de Algemene Verordening Gegevensbescherming (AVG) zien we er veel voorbij komen.
Wat ons daarbij verbaast, is dat bouwers van programmatuur, apps en/of websites een verwerkersovereenkomst onder hun neus krijgen geschoven. Ook voor programmatuur die jaren geleden gebouwd is. De verwachting van de klant is dan dat niet alleen hosting onder de verwerkersovereenkomst valt -als dat al afgesproken is- maar dat ook de programmatuur ook gelijk maar even AVG proof is.
Als een soort bing bang zou de programmatuur dan na tekenen van de verwerkersovereenkomst aan de AVG voldoen. Dat is een illusie.
U moet dit als bouwer van programmatuur niet willen tekenen.
Heeft u een hostingrelatie met de klant als bouwer, waarbij u programmatuur die u ooit eens heeft gebouwd voor de klant host, spreek dan af dat de verwerkersovereenkomst geldt voor de hosting. Dan moet het natuurlijk wel gaan om managed hosting. Als de klant zelf verantwoordelijk was voor systeembeheer en dergelijke, is het veilig maken van de hostingomgeving in eerste instantie de verantwoordelijkheid van klant. Spreek voor de programmatuur af dat u samen kijkt wat er nodig is om de programmatuur weer helemaal AVG-proof te maken. De klant dient daar gewoon voor te betalen.
Als u met de klant een onderhoudscontract en/of SLA heeft afgesproken, gebruik dan de voorgeschotelde verwerkersovereenkomst als leverage om het onderhoudscontract en/of de SLA uit te breiden proactief onderhoud ter zake het voldoen aan regelgeving ter zake het verwerken van persoonsgegevens. Ook hier geldt weer dat de klant ervoor moet betalen.
Wij zijn wel van mening dat als u nu iets bouwt, er toch wel rekening met de AVG moet zijn gehouden. Vooral als het gaat om privacy by design en privacy by default. Maar laat u niet verrassen (want meestal komt de verwerkersovereenkomst als “moetje” aan het einde van het traject). Kom met de klant van tevoren requirements overeen met betrekking tot beveiliging en het verwerken van persoonsgegevens. En let er daarbij op dat requirements met betrekking tot beveiliging en het verwerken van persoonsgegevens zich niet laten vangen in user stories, voor het geval u SCRUM hanteert.
Feitelijk gaat het om de scope. Spreek goed af wat de scope is van de verwerkersovereenkomst. Weet waar uw verantwoordelijkheid begint, en waar die eindigt. Aanvaard geen verplichtingen buiten de scope waar u niet voor verantwoordelijk bent.