Sinds de AVG in 2018 van kracht werd, zijn organisaties massaal “iets met privacy” gaan doen. Processen in kaart, Excelletjes gevuld, contracten herschreven en verwerkersovereenkomsten uit de kast getrokken. Op zich prima. Alleen is er toen ook een hardnekkige denkfout ingeslopen die we jaren later nog steeds dagelijks tegenkomen: gaan persoonsgegevens van A naar B, dan is A de verwerkingsverantwoordelijke en B de verwerker. Punt.

Klinkt lekker overzichtelijk. Is alleen juridisch onjuist.

De AVG werkt niet met automatisme of nattevingerlogica, maar met analyse. De kernvraag is niet wie de data aanlevert, maar wie het doel en de middelen van de verwerking bepaalt. Met andere woorden: waarom bestaat die organisatie eigenlijk en wat is de rol van persoonsgegevens daarin? Wie dat overslaat en meteen een verwerkersovereenkomst uitrolt, is niet compliant bezig, maar administratief aan het rennen.

Neem een pensioenfonds. Werkgevers leveren bakken persoonsgegevens aan: salarissen, dienstjaren, deeltijdfactoren. En toch is een pensioenfonds géén verwerker van de werkgever. Waarom niet? Omdat het pensioenfonds een eigen wettelijke taak heeft, een zelfstandige relatie met de deelnemer en een bestaansrecht dat niets te maken heeft met “data verwerken namens werkgevers”. Het fonds beheert pensioenkapitaal. Punt. Dat iemand twintig jaar na uitdiensttreding nog steeds deelnemer is, zegt genoeg.

Hetzelfde verhaal bij arbodiensten. Ja, de werkgever stuurt gegevens door. Maar zodra een werknemer bij de bedrijfsarts zit, is er een directe relatie tussen werknemer en arbodienst. Zeker bij medische gegevens bepaalt de arbodienst zelf het doel, de middelen en de bewaartermijnen. Dat heet dus: zelfstandig verwerkingsverantwoordelijke. Geen verwerker. Klaar.

Of neem iets simpels. Een buitenlandse relatie moet naar Schiphol. Een medewerker boekt online een taxi en vult naam en telefoonnummer in. Is het taxibedrijf ineens verwerker van de Nederlandse organisatie? Natuurlijk niet. Het taxibedrijf verkoopt taxiritten, heeft een rechtstreekse relatie met de reiziger en verwerkt persoonsgegevens om die rit uit te voeren. Dat heet: eigen verantwoordelijkheid.

En dan de loyalty-wereld. Cadeautjes voor eindgebruikers. Dat loyaltybedrijf bestaat niet om persoonsgegevens te verwerken, maar om cadeaus te bedenken, op voorraad te nemen en te versturen. Exact hetzelfde geldt als je zelf iets bij Bol bestelt en laat afleveren bij een relatie. Ook Bol is geen verwerker “namens jou”. Wie dat wel beweert, snapt de AVG niet.

En toch zien we vooral grote, internationale organisaties die hun standaard Data Processing Agreement er koste wat kost doorheen drukken. Niet omdat het klopt, maar omdat het “policy” is. Het gesprek wordt vermeden, de nuance genegeerd. Resultaat? Onjuiste contracten, schijnzekerheid en eindeloze discussies over 10 pagina’s verwerkersovereenkomst, terwijl 10 regels hadden volstaan.

En dan zeggen ze dat juristen en compliance mensen moeilijk doen. Onzin. Juist wie het niet begrijpt, maakt het ingewikkeld. Met een beetje gezond verstand en een inhoudelijke analyse wordt het allemaal een stuk eenvoudiger — én juridisch juist.