Verkeerde AVG-rol - Communiceer liever dan te overcompenseren

Drie nadelen AVG-rollen

1. Juridische complicaties

De Richtsnoeren 07/2020 van de EPDB (pg. 10, 12, 13, 14, 15, 22, 38 en 52) laten zien dat over de onderlinge verhoudingen en de rolverdeling de feitelijke omstandigheden doorslaggevend zijn. Daarnaast zal, bij twijfel of onduidelijkheid, de rechter de bescherming van de betrokkene voorop stellen. Wanneer dus niet duidelijk is hoe de rechtsverhouding tussen jouw organisatie en jouw derde partij gekwalificeerd moet worden, zal de rechter de meest gunstige interpretatie toepassen (bron: , 03-02-2025).

De uitkomst, en dus jouw nadeel, kan zijn dat de rol wijzigt van bijvoorbeeld verwerker naar verwerkingsverantwoordelijke. Het gevolg hiervan kan zijn dat deze ‘nieuwe’ rol lijdt tot het niet hebben voldaan aan de AVG wanneer een datalek heeft plaatsgevonden. Mogelijk is bij jouw organisatie de datalek niet geregistreerd, gemeld en verder afgehandeld zoals dat bij een verwerkingsverantwoordelijke zou moeten gaan volgens de AVG. Ook de communicatie met betrokkenen over hun rechten zal hierdoor mogelijk ontbreken.

Stem dan ook vooraf goed ieders feitelijke rol af en handel hiernaar.

2. Hogere werklast

Een van de taken van een verwerkingsverantwoordelijke is zorgdragen dat alle verwerkers voldoen aan de gestelde eisen uit de verwerkersovereenkomsten. Dit vraagt om actief leveranciersmanagement en dus inspanningen uit de organisatie (lees – manuren). Hoe meer verwerkers hoe meer manuren er nodig zijn om alle verwerkers goed te beheren. Het is immers jouw verantwoordelijkheid. Hierdoor ontstaat een hoge werklast binnen de organisatie om alle verwerkers actief te beoordelen en compliance te verifiëren.

Het gevolg hiervan kan zijn dat medewerker(s) onvoldoende middelen om alle verwerkers in voldoende mate te monitoren waardoor de organisatie als verwerkingsverantwoordelijke compliance-risico’s loopt.

3. Ineffectiviteit van beveiligingsmaatregelen

Onduidelijkheid of verkeerde aannames over wie verantwoordelijk is voor welke beveiligingsmaatregelen kan leiden tot ineffectieve beveiligingsmaatregelen omdat deze niet of niet volledig geïmplementeerd worden of beheerd. Het gevolg is dat verwerkingsrisico’s blijven bestaan of zelfs een hoger risico vormt dat wordt gedacht of aangenomen. De kans op een (groot) datalek neemt hierdoor toe alsook de onduidelijkheid over het afhandelen ervan. De gevolgen van een datalek zullen dan ook langer voortduren dan nodig zou zijn.

TIP!

De Richtsnoeren 07/2020 waar eerder naar verwezen werd, geeft handvatten om de juiste rol voor iedere partij te kunnen bepalen. Ook de Nederlandse Autoriteit Persoonsgegevens heeft op haar website aanvullende handvatten hierover beschreven (bron: ‘verantwoordelijke-en-verwerker’, , 04-02-2025). Het is uiteindelijk voor de betrokkenen dat de rollen juist en zuiver zijn vastgesteld zodat zij hun rechten optimaal kunnen uitoefenen zoals de GDPR bedoeld heeft.

Communicatie met klanten

Nu in Nederland bekend is dat de Cyberbeveiligingswet (Cbw) in Q3 2025 van kracht zal gaan worden, neemt de berichtgeving op social media weer toe. MKB wordt actief opgeroepen maatregelen te nemen om te kunnen voldoen aan de eisen uit de Cbw en daardoor hun klanten kunnen blijven bedienen. In mijn nieuwsbrief nummer 11 van 13 juni 2024 () besprak ik dit onderwerp uitvoerig. De kern uit dit artikel was dat een compliance-eis van de opdrachtgever, een contractuele eis moet zijn richting de leverancier(s) en ketenpartners!

Het is voor een leverancier/ ketenpartner namelijk niet mogelijk om vooraf te bepalen welke maatregelen genomen moeten worden om aan de eisen van je opdrachtgevers te kunnen voldoen. Deze opdrachtgevers zullen de (aanvullende) eisen kenbaar moeten maken! Zeker wanneer zij een entiteit zijn zoals bepaald in de Cbw. Zij moeten aan deze wet voldoen en moeten hun compliance-eisen vertalen naar de betrokken ketenspartners en leveranciers.

Om als ketenpartners of leverancier wel te voldoen aan basis zorgplichten is het belangrijk actief met jouw opdrachtgevers te communiceren en hen, voor wie de Cbw van toepassing is, te vragen zo spoedig mogelijk aan te geven welke (aanvullende) eisen zij gaan stellen. Dit geeft jouw als ketenpartner ook implementatietijd voordat de Cbw van kracht wordt.

Ik zie dit in soortgelijke mate met de AVG en dan met name de verwerkersovereenkomst. De relatie tussen de verwerkingsverantwoordelijke en verwerker ziet er gelijk uit als een opdrachtgever-leverancier-relatie. Een deel van verwerkingen wordt uitbesteed aan een andere partij en via de verwerkersovereenkomst worden eisen gesteld aan de verwerker over de te nemen maatregelen die passend zijn bij het verwerkingsproces van de verwerkingsverantwoordelijke. Voor de Cbw voorzie ik een soortgelijke constructie of een integratie met de verwerkersovereenkomst als een algemene verwerkingenovereenkomst.

!!! De Cbw (NIS2) verlangt passende EN evenredige maatregelen. De AVG vereist (ex. Art. 32 AVG) alleen passende maatregelen. Houd er dus rekening mee dat ook de evenredigheid van de maatregel beschreven wordt. !!!

Dus niet meerdere verschillende verwerkingenovereenkomsten maar een integratie van alle eisen op het gebied van de te nemen maatregelen waarbij de zwaarste maatregel prevaleert. In een verwerkingenovereenkomst kunnen alle relevante wet- en regelgeving benoemd worden en de concrete beveiligingseisen gespecificeerd weergegeven. Ook de te verwerken gegevens (niet alleen dus de persoonsgegevens) staan vermeld. Het voordeel is dat de beveiligingseisen overzichtelijk blijven, duidelijkheid geschept wordt en de rechtsposities niet onnodig diffuus gemaakt. Het is namelijk minder belangrijk om de juridische kant op te zoeken om te bepalen welke wet voorrang heeft (en dus welke maatregelen belangrijker zijn). Voor een leverancier is dat niet van belang omdat deze maatregelen als contractuele eisen vastgelegd zijn. De wettelijke bron is dan minder van belang. Nakoming van de overeenkomst is voor de leverancier het belangrijkste.