Verbureaucratisering van Privacy is gelukt

Verbureaucratisering van Privacy is gelukt


02 november 2018

Het is gelukt: de verbureaucratisering van Privacy is voor mij een feit. Ik heb meegewerkt aan het afsluiten van een verwerkersovereenkomst zonder dat er een verwerking is.

Verwerkersovereenkomst? Gewoon doen! Of toch niet?

Privacy en de AVG zijn “hot”. Door de grote onduidelijk en angst voor boetes ontstaat er vanzelf een hype. Jezelf lostrekken van een hype is als mens (lees kuddedier) erg lastig. In die privacyhype is de verwerkersovereenkomst zo’n punt. De hype zegt dat je ze moet afsluiten. Snel. Veel. Hoe? Dat maakt niet uit. Gewoon doen!

Wat gebeurt er, de afdeling inkoop wordt verordineerd om met bestaande en nieuwe klanten zo’n overeenkomst af te sluiten. Dankzij de vele samenwerkingsverbanden is in bijna alle sectoren wel een format geproduceerd en die wordt dan ook en masse verzonden. Bijna alle templates bestaan uit twee delen. Deel een is een beetje algemeen reglement en deel twee zijn bijlages met een verdere specificatie van de daadwerkelijke verwerking en eventuele technische en organisatorische maatregelen.

Verwerkersovereenkomst zonder verwerking

Terug naar het tekenen van een verwerkersovereenkomst zonder verwerking. Ik werd gebeld waarom wij geen verwerkersovereenkomst wilde tekenen. Ik legde uit dat ik geen enkele verwerking in de betreffende opdracht zag. Mijn collega zou projectleider worden zonder enige toegang tot systemen en gegevens. De inkoper in kwestie had de opdracht gekregen bij iedere vorm van inhuur om de overeenkomst te laten tekenen, anders kregen wij geen opdracht. Ik gaf aan dat ik geen bezwaren heb tegen het ondertekenen van de sectorale overeenkomst maar of de organisatie dan wel even zelf de bijlage kon vullen met de verwerking en maatregelen die ze voor deze opdracht verwachten. Met betrekking tot de maatregelen stond er een generieke sectorale opsomming die zeker niet toepasbaar is op alle opdrachten. De inkoper, inmiddels toch iets minder zeker van zijn zaak, gaf aan dat ik de bijlagen zelf moest vullen. Want dat deed de opdrachtnemer eigenlijk altijd. Zo gebeurde het dat ik het volgende heb gedicht:

  • Er worden geen gegevens verwerkt en mocht het zich wel voordoen, dan is het altijd in opdracht van de opdrachtgever. Deze vallen onder de noemer ‘intern beheer’. De projectleider heeft geen directe toegang tot de systemen waarin gegevens worden verwerkt.

Het echte doel

We hebben voldaan aan het proces, mijn collega doet de klus, wij voeren geen verwerking uit. Gelukkig zijn er afspraken gemaakt om deze bureaucratie in de toekomst te verminderen en ons bezig te houden met zinvol werk en het echte doel. Namelijk het beschermen van de rechten en informatie van patiënt, burger en andere betrokkenen.


Wil u voldoen aan de AVG zonder ingewikkelde beleidsdocumenten en overbodige teksten? Benieuwd of u als organisatie voldoet aan de nieuwe eisen en richtlijnen? Neem contact met ons op. Onze informatieveiligheidexperts ondersteunen u graag.