Intern beheer bij inhuur: de escape in de AVG?

Intern beheer bij inhuur: de escape in de AVG?


03 juli 2018

Het ministerie van Justitie en Veiligheid heeft een mooie AVG-handleiding opgesteld. Hulde! Nog mooier dat de Autoriteit Persoonsgegevens deze integraal heeft overgenomen. Temeer omdat de handleiding al voor de ingang van de AVG is geschreven en gepubliceerd. Deze handleiding biedt dan ook veel handvatten in de wonderlijke wereld van de AVG.

Wet Bescherming persoonsgegevens

De auteurs van de AVG-handleiding hebben veel teruggegrepen op bestaande stukken die we onder het regime van de Wet Bescherming persoonsgegevens hadden. Logisch, onze “oude WBp” was buitengewoon doordacht en sterk in lijn met de nieuwe AVG. Met dat teruggrijpen op de WBp is er een term in de AVG-handleiding genoemd die voor veel discussies zorgt.

Intern beheer

Deze term, "intern beheer" (handleiding AVG 3.5.1), zorgt op dit moment vooral voor veel discussies bij opdrachtgevers en publieke AVG/GDPR fora op LinkedIn. Wat ik zie gebeuren is dat we vooral de term willen gebruiken om maar geen afspraken met elkaar vast te leggen of juist te verzanden in onhaalbare of onbegrijpelijke afspraken. Sterker nog, een privacyhandleiding van een specifieke beroepsvereniging in de zorg geeft aan dat een inhuurder, omdat deze onder “intern beheer” valt niet hoeft te voldoen aan de AVG. Een “verlaat de gevangenis zonder te betalen” term dus, of is dat te makkelijk?

Privacy in de jaren 90

Bij aanpassingen van de WBp eind jaren 90 was de definitie van de "bewerker" niet voldoende uitgewerkt. De term "intern beheer" is daarom gedefinieerd en opgenomen in een memorie van toelichting (in kamerstukken 25 892 P61). We hebben het dus over een Nederlandse term van ongeveer 20 jaar oud. Wie van u was toen bezig met informatiebeveiliging en Privacy in een sterk gedigitaliseerde wereld met sociale media, big data en artificial intelligence?

Doel en middelen

Intern beheer gaat over personen die voor de  informatieveiligheid en privacy verantwoordelijke  (verwerkingsverantwoordelijke) werken. Zij hebben een beperkte hiërarchische afstand tot de verantwoordelijke en zijn niet een directe werknemer. Eenvoudiger, deze persoon is niet in staat doel en middelen voor de verwerking zelf te bepalen. Een voorbeeld, ik huur als ziekenhuis een ZZP’er in om een beheertaak in het EPD uit te voeren op het computersysteem van het ziekenhuis. De ZZP’er kan doel en middelen niet zelf bepalen en valt daarmee onder het kopje “intern beheer”. En volgens de AVG-handleiding dus geen “verwerker”. Geen verwerker betekent geen verwerkersovereenkomst. En masse wordt dan ook verkondigt dat er geen afspraken nodig zijn.

Geen controle

Wat nu als de ZZP'er een eigen PC meeneemt, waar de verwerkingsverantwoordelijke geen controle over heeft en de gedetacheerde kracht in een openbare ruimte door een hard gevoerd gesprek inbreuk op de privacy van een betrokkenen veroorzaakt? Hoeven we daar dan geen afspraken over te maken? De term “intern beheer” is vaak gekoppeld aan “gezag”. Wie heeft het gezag over de inhuurder, wat is de hiërarchische afstand anno 2018?

Heldere zaken

Of je nu wel of niet de term “intern beheer” gebruikt, een verwerkingsverantwoordelijke (opdrachtgever) bij een verwerking moet altijd een aantal zaken helder hebben:

  • Bij welke gegevens kan iemand komen en past dat bij de taak/rol die iemand heeft?
  • Welk gedrag vind ik als verantwoordelijke passend bij de verwerking van gegevens?
  • Als er met (computer)systemen buiten mijn ‘span of control’ wordt gewerkt, welke maatregelen vind ik als verantwoordelijke minimaal passend, en als ik deze niet kan afdwingen, hoe regel ik het dan op een andere manier (afspraken)?
  • Welke afspraken maken we met elkaar als het toch een keer verkeerd gaat?

Informatiebeveiligingsbeleid en privacybeleid

Dat betekent dat je als verwerkingsverantwoordelijke een sluitend informatiebeveiligingsbeleid en privacybeleid moet hebben zodat van te voren bekend is welke beleidsuitgangspunten er zijn gekozen rondom zaken zoals devicebeleid en bewustwordingstrainingen. Dit is zowel voor interne medewerkers als voor inhuur van toepassing.

Privacyafspraken borgen

Privacyafspraken borgen kan heel makkelijk in enkele zin bij de inhuurovereenkomst zoals de volgende:

“Gedurende uitvoering van werkzaamheden zoals beschreven in de overeenkomst dient opdrachtnemer zich ten alle tijden te conformeren aan het interne beleid van opdrachtgever” met eventueel een verwijzing naar de relevante documenten.

Ingewikkelde verwerkersovereenkomst

Helaas hebben we hier in Nederland nu een ingewikkeld ding als de “verwerkersvereenkomst” uitgevonden. Mijn advies? Leg de afspraken rondom de omgang van persoonsgegevens met elkaar vast. Dit geldt voor medewerkers, inhuurders en personen die onder de term “intern beheer” vallen. Maar ook de echte externe verwerkers van gegevens vallen hieronder. Schep duidelijkheid over de eisen die je als verantwoordelijke stelt aan de verwerking van persoonsgegevens.