Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

| AE 9217 | Privacy | 7 reacties

Een lezer vroeg me:

Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel om het e-mail adres en inlog gegevens. En soms wéét je het niet, zoals bij chatdiensten (Yammer of Slack). Daar kunnen mensen best persoonsgegevens intypen. Wat zegt de wet?

Dit is inderdaad een lastige kwestie. Heel formeel moet dit inderdaad altijd, bij iedere derde die in jouw opdracht persoonsgegevens opslaat van jouw personeel of klanten. De wet eist namelijk dat je bij elke bewerker een bewerkersovereenkomst sluit waarin je apart regelt welke eisen omtrent persoonsgegevens hij moet nakomen (en hoe jij dat gaat borgen en auditten).

Een bewerker is iedereen die in jouw opdracht persoonsgegevens verwerkt en niet zelfstandig bepaalt voor welke doelen (of met welke middelen). De meeste clouddiensten laten aan de klant over wat er gebeurt met klantdata en kiezen dus niet zelf de doelen. Over de middelen-keuze kun je twisten, maar uiteindelijk is dat denk ik ook een klantkeuze: die klikt op knop A of activeert feature B, de dienstverlener is daar passief.

Het is een discussie of dat ook geldt als de derde niet wéét dat je persoonsgegevens gaat aanleveren. Extreem voorbeeld is Pastebin: daar kun je teksten plakken die dan gepubliceerd worden. Ik kan daar persoonsgegevens plakken, maakt dat Pastebin een bewerker?

Als er echter gestructureerde velden zijn voor persoonsgegevens (al is het maar jouw gebruikersnaam etc) dan voldoet deze partij aan de definitie van bewerker en moet er dus een bewerkrsovereenkomst komen. Doe je dat niet, dan ben jij in overtreding van de Wbp – zij het dat daar géén boete op staat. Het voornaamste risico is dat jij de claims krijgt als de bewerker data lekt of iets anders verkeerd doet, en dat je dan geen verhaalsmogelijkheid hebt.

Veel van dit soort partijen zijn Amerikaans en kennen het concept bewerkersovereenkomst (“Personal data processing agreement”) eigenlijk niet. Sommigen willen graag Europese business en tekenen met liefde, anderen vinden het maar onzin en reageren niet eens op de vraag. Het is dan dus een risico-afweging voor jou.

Onder de aankomende Privacyverordening (ADV: koop dat boek) zal dit mogelijk veranderen. De Verordening zegt namelijk dat ook de bewerker aansprakelijk is voor boetes en schade als er geen bewerkersovereenkomst – pardon, verwerkersovereenkomst – is tussen hem en de verantwoordelijke. In hoeverre dat afdwingbaar is tegen Amerikaanse partijen is natuurlijk een heel andere vraag.

Arnoud

Deel dit artikel

  1. Het wordt natuurlijk wel makkelijker als je minder verwerking van gegevens door derden laat doen, dus als je alles in-house doet, of misschien bij een kleiner aantal derden. Dat is natuurlijk ook beter voor de privacy: hoe minder partijen bij gegevens kunnen, hoe beter. Gegevens niet kunnen misbruiken is nog steeds een betere bescherming dan gegevens niet mogen misbruiken.

    Ik hoop dat, door de moeilijkheid van bewerkersovereenkomsten, meer bedrijven zullen kiezen om dingen in-house te doen. Natuurlijk is daar vaak de expertise niet voor aanwezig (niet bevorderlijk voor de beveiliging), dus het zou goed zijn als daar standaard-oplossingen voor worden aangeboden. Dat zouden dan bij voorkeur “producten” moeten zijn, incl. de hardware, niet “diensten” op andermans hardware.

  2. Het lijkt mij mogelijk afdwingbaar via de verplicht in de EU aan te wijzen vertegenwoordiger. Overweging 80 bij de Verordening luidt: “In geval van niet-naleving door de verwerkingsverantwoordelijke of de verwerker dient de aangewezen vertegenwoordiger aan handhavingsprocedures te worden onderworpen.” Een niet in de EU gevestigde verwerker die zich wel degelijk op de EU richt en zich niet aan de regelts houdt, wordt zodoende via zijn vertegenwoordiger alsnog aangepakt. De vertegenwoordiger zal zich immers door zijn opdrachtgever heus wel laten vrijwaren voor alle gevolgen van incompliancy, inclusief het opgelegd krijgen van dwangsommen/boetes vanwege het door de opdrachtgever niet voldoen aan de EU-wetgeving.

  3. Ik vraag mij af in hoeverre je verantwoordelijk gehouden kunt worden bij het gebruik van een derde partij voor het verwerken van privé-gegevens indien die andere partij verantwoordelijk is voor het bijhouden van die gegevens. Ik denk hierbij aan het inloggen via OpenID waarbij Twitter, LinkedIn, Google+ of Facebook als login provider kan worden gebruikt en je site dus alleen maar rechten krijgt op data die op de andere site wordt bijgehouden. (Bijvoorbeeld de tijdlijn op Facebook of werkervaring op LinkedIn.)

    Ik denk hier ook bij even aan PayPal, waarmee je gewoon betalingen via je site kunt verwerken zonder dat je zelf privacygevoelige gegevens gebruikt. Immers, de betaling vindt plaats via PayPal en je krijgt uiteindelijk alleen bericht dat er is betaald, hoeveel er is betaald en waar het pakket heen gestuurd moet worden. Ik verwerk die data dan niet echt, want PayPal doet dat. Of is dit te kort door de bocht?

    In ieder geval, bij het gebruik van de providers die ik net allemaal heb genoemd ben je als gebruiker al een overeenkomst aangegaan met die providers. En later dus ook met mij op mijn site. Is zo’n bewerkersovereenkomst dan eigenlijk nog wel nodig? Immers, mijn site verwerkt geen gegevens maar haalt deze elders op omdat mijn site daar toestemming voor heeft gekregen van de bezoeker…

  4. Arnout, hoe zit het eigenlijk met zakelijke emails? Stel, ik ben een recruiter en stuur een email met een Cv. Persoonlijke gegevens dus. Ik moet dus met de ontvanger eerst een verwerkersovereenkomst sluiten, zelfs als de eigenaar van het Cv mij toestemming heeft gegeven om het document te delen met potentiele opdrachtgevers. Lijkt me nogal lastig. Ken zo nog wel een paar voorbeelden.

    • Dan moet je met de eigenaar van die gegevens een verwerkersovereenkomst sluiten, maw. de persoon waarvan het CV is. Als in die verwekersovereenkomst staat dat je het CV mag delen met derden, dan heb je in principe aan de voorwaarden voldaan.

      Er staat nergens in de wet dat persoonsgegevens onder geen enkele omstandigheid openbaar mogen worden gemaakt, maar wel dat het alleen met expliciete toestemming mag. In veel gevallen is die expliciete toestemming vastgelegd in een verwerkersovereenkomst. Immers, als publiceren van persoonsgegevens door de persoon zelf nooit zou mogen, dan zouden telefoonboeken en visitekaartjes ook ophouden te bestaan.

      Als een sollicitant een recruiter toestemming geeft om zijn CV ongevraagd naar weet-ik-veel-wie te sturen, dan lijkt het me nogal logisch dat hij daarmee toestemming geeft om de gegevens in zijn CV te openbaren.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS