Contract dat getekend wordt

Contractmanagement op papier

wat als je hele model niet klopt?

Over ZZP’ers, schijnzekerheid en de realiteit achter AVG en NIS2

Dit is geen uitzondering. Dit is hoe het meestal gaat.

Een organisatie besteedt dienstverlening aan hun medewerkers uit. Niet hun corebusiness, Denk  bijvoorbeeld aan bedrijfsmaatschappelijk werk, vertrouwenspersoonswerk, mediation of coaching
De opdrachtnemer: een MKB-bedrijf.

In het contract:

  • AVG-clausule ✔
  • Soms zelfs ISO 27001-eis ✔
  • Doorleg verplichting naar sub-contractanten ✔
  • Opdrachtgever maakt een contract. MKB tekent.
  • MKB’er heeft een contract met de ZZP’er.
  • MKB’er heeft een verwerkingsovereenkomst: ZZP’er is verwerker.

Alles lijkt geregeld.

Op papier.

In de praktijk?
Doen ZZP’ers volledig het uitvoerende werk.
MKB’er verstuurd de factuur naar de opdrachtgever

En niemand kijkt ondertussen echt hoe.

De papieren werkelijkheid

We kennen ze allemaal:

  • “Passende technische en organisatorische maatregelen”
  • “Soms ISO 27001 gecertificeerd zijn”
  • “Dezelfde verplichtingen voor sub-contractanten”

Het voelt solide. Professioneel. Afgedekt.

Maar ondertussen:

  • Staan dossiers op papier;
  • Gespreksaantekeningen in een kladblok;
  • Gaan ze mee in tassen en auto’s;
  • Wordt er gewerkt aan keukentafels;
  • En heeft niemand zicht op beveiliging.

Conclusie: Privacy is beschreven. Veiligheid is niet georganiseerd.

Praktijkvoorbeeld: het dossier in de tas

Dit is geen hypothetisch scenario.

Een organisatie besteedt bedrijfsmaatschappelijk werk uit aan een MKB-aanbieder.
Contractueel klopt alles. De uitvoering ligt bij ZZP’ers. Eén van hen werkt zoals ze dat al jaren doet:

  • Gesprekken op locatie;
  • Aantekeningen in een schrijfblok;
  • Schrijfblok gaat mee in haar tas.

Op een vrijdagmiddag wordt die tas gestolen uit haar auto. Even snel een boodschap doen. Ruitje ingeslagen. Gevolg tas weg. Laten we het een worst-case scenario maken.

In die tas:

  • Papieren dossiers;
  • Persoonlijke aantekeningen (schrijfblok).

Gevolg: gevoelige informatie over medewerkers in het bezit van onbevoegde derden.
Er is onmiskenbaar een datalek.


En dan begint het echte probleem

Bij de datalekmelding komen direct de vragen:

  • Hoe kon dit gebeuren?
  • Was dit toegestaan?
  • Wie is verantwoordelijk?

En dan blijkt:

  • Niemand heeft ooit gevraagd hoe dossiers worden bewaard
  • De MKB’er heeft nooit gecontroleerd hoe ZZP’ers werken
  • De ZZP’er deed gewoon haar werk — zoals ze dat professioneel gewend is

Uitroepteken met effen opvullingNiemand vroeg.
Niemand controleerde.

Maar iedereen had wel iets getekend.

Wat de MKB’er over het hoofd ziet

Laten we het nog scherper maken.

Als de ZZP’er wél een sub-verwerker zou zijn, dan is de situatie simpel:

Jij als MKB’er bent volledig verantwoordelijk.

Niet een beetje.
Niet gedeeld.

Volledig.


Artikel 28 lid 4 AVG zegt:

Wanneer een verwerker een andere verwerker inschakelt om specifieke verwerkingsactiviteiten namens de verwerkingsverantwoordelijke te verrichten, worden aan die andere verwerker dezelfde gegevensbeschermingsverplichtingen opgelegd als die welke in de overeenkomst […] zijn vastgesteld […]

Indien die andere verwerker zijn gegevensbeschermingsverplichtingen niet nakomt, blijft de oorspronkelijke verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van die andere verwerker.

Afbeelding AVG tegen EU sterren


Als jouw sub-verwerker er een potje van maakt, dat wil zeggen:
papieren dossiers kwijtraakt, of geen beveiliging toepast, of slordig omgaat met gegevens.

Dan is dat jouw probleem.

Jij hebt hem/haar ingehuurd.
Jij had moeten controleren.
Jij moet het uitleggen.

Dat is geen interpretatie.
Dat is hoe de AVG werkt.

En dan komt de echte vraag

Maar wat als die ZZP’er helemaal geen sub-verwerker is?

Wat als diegene:

  • Zelf bepaalt wat wordt vastgelegd (dossiervorming);
  • Zelf kiest hoe dat gebeurt;
  • Werkt volgens de professionele normen van de beroepsvereniging.

Dan stort je hele model in.

Dan heb je als MKB’er:

  • gestuurd op de verkeerde rol
  • geen echte afspraken gemaakt
  • geen controle ingericht

Geen grip. Wel risico.

De verkeerde aanname

Op papier was het model helder:

Opdrachtgever (verantwoordelijk) → MKB’er (verwerker) → ZZP’er (sub-verwerker)

Soms sluit de MKB’er met de ZZP’er een verwerkingsovereenkomst en dan wordt het model:
Opdrachtgever (verantwoordelijk) → MKB’er (verwerker)
MKB’er (verantwoordelijk) → ZZP’er (verwerker)
Dat zijn aannamen op papier.
En precies daar gaat het mis.

De wending: dit model bestaat niet altijd!

De Autoriteit Persoonsgegevens kijkt niet naar jouw contract.
Die kijkt naar de praktijk.

En in de praktijk:

  • Bepaalt de ZZP’er zelf wat wordt vastgelegd;
  • Kiest de ZZP’er zelf hoe de vastlegging gebeurt;
  • Werkt de ZZP’er volgens de geldende professionele normen.

Dat is geen verwerker.
Dat is een zelfstandig verwerkingsverantwoordelijke.

Het model wordt dan:
Opdrachtgever (verantwoordelijk) → MKB’er (verwerker) ZZP’er (verantwoordelijk)
Dit staat dus los van de sub-contractant uit het contract van de opdrachtgever.


Lees ook onze eerdere blog hierover, ZZP’ers? Jullie zijn zelden een verwerker!

En dan valt alles om

Als die aanname niet klopt:

Werkt je contract niet meer

Je kunt wel eisen opleggen.
Maar je kunt geen rol afdwingen.

Noem iemand “sub-contractant”, leg dezelfde clausules op. Het maakt niet uit.

Je kunt geen verwerkersverplichtingen opleggen aan iemand die vervolgens zelf verantwoordelijk is.

Bestaat je keten niet

Geen: opdrachtgever → verwerker → sub-verwerker

Maar: losse verwerkingsverantwoordelijken naast elkaar

Hangt de MKB’er in het luchtledige

Wel contractueel verantwoordelijk.
Geen feitelijke regie.

Dat is geen positie.
Dit is een risico!

Het datalek opnieuw bekeken

Die gestolen tas is geen incident.

Het is een symptoom.

Van:

  • Verkeerde aannames;
  • Geen inzicht;
  • Geen sturing.

De ZZP’er is verantwoordelijk voor haar werk.

Maar de echte vraag voor de opdrachtgever is simpel:

Waarom wist je niet dat dit zo gebeurde?

En voor de MKB’er:

Waarom heb je dit nooit gecontroleerd?

Een ongemakkelijke spiegel voor de ZZP’er

En laten we eerlijk zijn. Ook de ZZP’er blijft hier te vaak stil.

Geen vragen over:

  • Rol onder de AVG;
  • Beveiligingseisen;
  • Contractuele verplichtingen vanuit de klant.

Gewoon de opdracht aannemen en aan het werk.

Terwijl de vraag simpel is:

Weet jij eigenlijk waar je “ja” tegen zegt?

Want als het misgaat:

  • Kun je zelf verwerkingsverantwoordelijke zijn;
  • Draag je eigen verantwoordelijkheid;
  • En kun je niet terugvallen op “dat stond niet in het contract”.


Niet vragen is geen onschuld.
Het is een risico.

Drie ongemakkelijke waarheden

1. Contractmanagement wordt niet gedaan

Er wordt getekend. Niet gemanaged.

2. ISO 27001 wordt misbruikt

Als label. Niet als instrument.
Het staat goed op papier.
Maar zegt niets over de praktijk.
Voor ZZP’ers is het een hele zware en vaak onrealistische eis.

3. Verantwoordelijkheid wordt doorgeschoven

Iedereen wijst.
Niemand stuurt.

En dan komt NIS2

NIS2 maakt dit zichtbaar. Onontkoombaar.
Niet omdat regels strenger zijn.
Maar omdat illusies verdwijnen.

Leveranciersrisico moet aantoonbaar beheerst worden

Dus niet:

  • “we hebben het afgesproken”

Maar:

  • “we weten hoe het werkt”

In dit voorbeeld:

  • wordt er met papier gewerkt?
  • hoe worden dossiers vervoerd?
  • wat gebeurt er bij verlies?

Dit zijn geen details. Dit zijn de risico’s.

Wat moet je dan wél doen?

Stop met algemene clausules in contracten.

Begin met realiteit.

Breng de praktijk in kaart

Hoe wordt er écht gewerkt?

Stel concrete eisen

Niet “passend”, maar specifiek:

  • Papier of digitaal;
  • Opslag en transport;
  • Minimale beveiliging.

Neem regie

Contractmanagement is geen administratie.
Het is risicobeheer.

Dus:

  • Controleren;
  • Toetsen;
  • Ingrijpen.

Conclusie

Het probleem zit niet in slechte intenties.

Het zit in verkeerde aannames:

  • Dat een ZZP’er een sub-verwerker is;
  • Dat een contract gelijk staat aan controle;
  • Dat een norm zekerheid biedt zonder toezicht.

Zolang die aannames blijven bestaan:

  • Klopt je model niet;
  • Klopt je governance niet;
  • En ontstaat schijnzekerheid.

Afsluiting

Privacy kun je beloven.
Veiligheid moet je organiseren.

En zolang je niet kijkt naar hoe er écht gewerkt wordt,
is elke afspraak die je maakt niets meer dan een goed klinkende misleiding.

Huur mij in als uw privacy officer.

Privacy als belofte is niet genoeg. Veiligheid moet je organiseren. Wil je dat goed doen?
Klik hier