Als contractmanager, hoe ga je optimaal om met implicaties vanuit de AVG?

maart 13, 2018

Click here for English version

De impact van de Algemene Verordening Gegevensbescherming is eerder al beschreven door mijn collega Jos Doensen; de noodzaak van het evalueren van de consequenties ervan zijn door Jos uitvoerig toegelicht. Deze aanvullende blog diept een aantal aandachtspunten voor de contractmanager (maar ook de inkoper) uit.

Gegevens met speciale aandacht

Aan te stippen is dat het niet alleen betrekking heeft op contracten die de verwerking van klantgegevens behelzen, maar ook van werknemers en derden (denk aan leveranciers) waarvan gegevens geregistreerd worden. Hierbij worden specifieke gegevens als “gevoelig” bestempeld. Denk hierbij aan gegevens rondom geaardheid, geloofsovertuiging en speciaal aan gegevens die verzameld zijn van personen onder de 16 jaar. Aan deze gegevens worden speciale eisen gesteld inzake bewaartermijnen en mate van beveiliging. Draag er dan ook zorg voor dat binnen de AVG-implementatie in uw organisatie er voor dit type gegevens extra aandacht is. 

AVG voor de (IT-)contractmanager

Als contractmanager ben je ook commercieel verantwoordelijk voor alles wat er rondom je contracten speelt; welke commerciële gevolgen heeft de AVG/GDPR-wetgeving mogelijk voor contracten binnen het IT-domein? Er zijn verschillende cost drivers die voorkomen uit de AVG-wetgeving. De meest voor de hand liggende:

  • Kosten voor opslag – het is mogelijk dat de leverancier een nieuwe manier of plaats van gegevensopslag moet vinden. Hiermee zijn natuurlijk kosten gemoeid.
  • Kosten voor encryptie – Wanneer gegevens moeten worden versleuteld op een manier waarbij er aan een nieuwe standaard moet worden voldaan, zal de leverancier een alternatieve versleuteling moeten ontwikkelen of inkopen.
  • Kosten voor nieuwe manieren van transport van data – beveiligde manieren van gegevensoverdracht zijn een belangrijk onderdeel van de AVG-eisen; wanneer deze nog niet in place zijn, moeten ook deze geïmplementeerd worden.

Het is aan het bedrijfsbeleid omtrent de AVG-wetgeving van uw eigen organisatie hoe om te gaan met deze kosten; accepteren we deze als extra kosten, of leggen we deze (deels) bij de leverancier? Veelal staat opgenomen in de Algemene Inkoopvoorwaarden dat de leverancier gedurende de lopende contractperiode dient te voldoen aan de vigerende wetgeving – voor de hand liggend is dan ook dat de leverancier opdraait voor de te maken kosten.

Hiernaast geldt ook dat de leverancier deze kosten over hun gehele klantenbasis kunnen verdisconteren; let dan ook goed op dat het aandeel dat u als klant gevraagd wordt te betalen realistisch is ten opzichte van het aandeel in de omzet van uw leverancier.

Veel (meestal grote) organisaties sturen hun leveranciers een model-verwerkersovereenkomst op ter ondertekening voor akkoord, als een take-it-or-leave-it deal. Hierin opgenomen staan de voorwaarden die de organisatie stelt aan de verwerking van persoonsgegevens door haar leveranciers, inclusief eventuele mitigerende maatregelen die een leverancier dient te treffen. Ook het doorschuiven van eventuele boetes die opgelegd worden als gevolg van het niet voldoen aan de wetgeving, maakt veelal als standaard clausule deel uit van deze overeenkomst.

Eén van de interessante aspecten aan een dergelijke standaard overeenkomst is dat veel organisaties voor hun leveranciers hierin reeds opnemen hoe zij aan de wetgeving moeten gaan voldoen. Aan de ene kant zeer begrijpelijk gezien de mogelijke consequenties bij non-compliance, maar gaat de vragende organisatie hierbij niet op de stoel zitten van de leverancier? In deze tijd van functioneel specificeren en Best Value Procurement eigenlijk een vreemde houding; de leverancier is niet voor niets de verwerkende partij geworden in het verleden, en zou deze verwerkingsstroom, de risico’s en de mitigerende maatregelen beter moeten kunnen overzien dan de vragende partij. Suggestie is dan ook om wel voor te schrijven wat een leverancier aan risico’s moet mitigeren, maar niet hoe – laat dit aan de leverancier over.

Aanpak om tot dekkende verwerkersovereenkomsten te komen

De ervaring van onze consultants heeft uitgewezen dat het, zeker in grotere organisaties, een hele klus is om zeker te weten dat alle benodigde verwerkersovereenkomsten gesloten zijn. Uit deze ervaring bieden wij u hier aantal punten van aandacht aan, die helpen om in ieder geval alle inspanning te structureren, en zo optimaal om te gaan met de inspanningen van de organisatie rondom de AVG/GDPR-wetgeving.

  • Breng in kaart welke verwerkingen er plaats vinden met persoonsgegevens binnen uw organisatie. Betrek hierbij functioneel beheerders, producteigenaren en andere stakeholders.
  • Breng in kaart welke applicaties daarbij betrokken zijn; ook hierbij zijn de bovenstaande stakeholders onmisbaar.
  • Breng in kaart welke leveranciers bij deze applicaties betrokken zijn. Let op! Vaak kent één applicatie meerdere leveranciers over de hele beheerstack.
  • Doe dit voor de hele organisatie. Het komt nogal eens voor, zeker in organisaties met meerdere bedrijfsonderdelen (BO), dat de analyse per BO aangevlogen wordt. Dat is prima, maar er zijn grote synergiën te behalen in het afsluiten van een dekkende verwerkersovereenkomsten-set met alle leveranciers wanneer het resultaat van de analyse per BO geaggregeerd wordt voor de hele organisatie.
  • Breng per leverancier in kaart welke verwerkingen er onderdeel moeten zijn van de af te sluiten verwerkersovereenkomsten. Door dit organisatie breed te doen kan er voor alle contracten die er met een leverancier gesloten zijn, dezelfde verwerkersovereenkomst gehanteerd worden – hiervoor wel vermelden in de bijlage bij de verwerkersovereenkomst dat deze niet alleen op een specifieke verwerking betrekking heeft, maar ook op welk contract.
  • Spreek, voordat de contractmanager of ander contactpersoon voor de leverancier naar de leveranciers gaat met de verwerkersovereenkomst een duidelijke overleg- en beslisstructuur af over opmerkingen en voorgestelde wijzigingen door de leverancier. Hou hierbij in de gaten dat er aan de voorwaarden die opgenomen zijn in de verwerkersovereenkomst voortkomend uit artikel 26 van de AVG-wetgeving niet getornd wordt.
  • Koppel de verwerkersovereenkomst aan de relevante eerder gesloten contracten of geaccordeerde offerte(s).

Als bijvangst heeft de contractmanager met dit traject een mooie mogelijkheid een hernieuwd inzicht op te doen over het applicatielandschap.

Maarten Scholts

Geschreven door Maarten Scholts

Qando | Medior Consultant