Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

Een lezer vroeg me:

Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel om het e-mail adres en inlog gegevens. En soms wéét je het niet, zoals bij chatdiensten (Yammer of Slack). Daar kunnen mensen best persoonsgegevens intypen. Wat zegt de wet?

Dit is inderdaad een lastige kwestie. Heel formeel moet dit inderdaad altijd, bij iedere derde die in jouw opdracht persoonsgegevens opslaat van jouw personeel of klanten. De wet eist namelijk dat je bij elke bewerker een bewerkersovereenkomst sluit waarin je apart regelt welke eisen omtrent persoonsgegevens hij moet nakomen (en hoe jij dat gaat borgen en auditten).

Een bewerker is iedereen die in jouw opdracht persoonsgegevens verwerkt en niet zelfstandig bepaalt voor welke doelen (of met welke middelen). De meeste clouddiensten laten aan de klant over wat er gebeurt met klantdata en kiezen dus niet zelf de doelen. Over de middelen-keuze kun je twisten, maar uiteindelijk is dat denk ik ook een klantkeuze: die klikt op knop A of activeert feature B, de dienstverlener is daar passief.

Het is een discussie of dat ook geldt als de derde niet wéét dat je persoonsgegevens gaat aanleveren. Extreem voorbeeld is Pastebin: daar kun je teksten plakken die dan gepubliceerd worden. Ik kan daar persoonsgegevens plakken, maakt dat Pastebin een bewerker?

Als er echter gestructureerde velden zijn voor persoonsgegevens (al is het maar jouw gebruikersnaam etc) dan voldoet deze partij aan de definitie van bewerker en moet er dus een bewerkrsovereenkomst komen. Doe je dat niet, dan ben jij in overtreding van de Wbp – zij het dat daar géén boete op staat. Het voornaamste risico is dat jij de claims krijgt als de bewerker data lekt of iets anders verkeerd doet, en dat je dan geen verhaalsmogelijkheid hebt.

Veel van dit soort partijen zijn Amerikaans en kennen het concept bewerkersovereenkomst (“Personal data processing agreement”) eigenlijk niet. Sommigen willen graag Europese business en tekenen met liefde, anderen vinden het maar onzin en reageren niet eens op de vraag. Het is dan dus een risico-afweging voor jou.

Onder de aankomende Privacyverordening (ADV: koop dat boek) zal dit mogelijk veranderen. De Verordening zegt namelijk dat ook de bewerker aansprakelijk is voor boetes en schade als er geen bewerkersovereenkomst – pardon, verwerkersovereenkomst – is tussen hem en de verantwoordelijke. In hoeverre dat afdwingbaar is tegen Amerikaanse partijen is natuurlijk een heel andere vraag.

Arnoud

12 reacties

  1. Het wordt natuurlijk wel makkelijker als je minder verwerking van gegevens door derden laat doen, dus als je alles in-house doet, of misschien bij een kleiner aantal derden. Dat is natuurlijk ook beter voor de privacy: hoe minder partijen bij gegevens kunnen, hoe beter. Gegevens niet kunnen misbruiken is nog steeds een betere bescherming dan gegevens niet mogen misbruiken.

    Ik hoop dat, door de moeilijkheid van bewerkersovereenkomsten, meer bedrijven zullen kiezen om dingen in-house te doen. Natuurlijk is daar vaak de expertise niet voor aanwezig (niet bevorderlijk voor de beveiliging), dus het zou goed zijn als daar standaard-oplossingen voor worden aangeboden. Dat zouden dan bij voorkeur “producten” moeten zijn, incl. de hardware, niet “diensten” op andermans hardware.

  2. Het lijkt mij mogelijk afdwingbaar via de verplicht in de EU aan te wijzen vertegenwoordiger. Overweging 80 bij de Verordening luidt: “In geval van niet-naleving door de verwerkingsverantwoordelijke of de verwerker dient de aangewezen vertegenwoordiger aan handhavingsprocedures te worden onderworpen.” Een niet in de EU gevestigde verwerker die zich wel degelijk op de EU richt en zich niet aan de regelts houdt, wordt zodoende via zijn vertegenwoordiger alsnog aangepakt. De vertegenwoordiger zal zich immers door zijn opdrachtgever heus wel laten vrijwaren voor alle gevolgen van incompliancy, inclusief het opgelegd krijgen van dwangsommen/boetes vanwege het door de opdrachtgever niet voldoen aan de EU-wetgeving.

  3. Ik vraag mij af in hoeverre je verantwoordelijk gehouden kunt worden bij het gebruik van een derde partij voor het verwerken van privé-gegevens indien die andere partij verantwoordelijk is voor het bijhouden van die gegevens. Ik denk hierbij aan het inloggen via OpenID waarbij Twitter, LinkedIn, Google+ of Facebook als login provider kan worden gebruikt en je site dus alleen maar rechten krijgt op data die op de andere site wordt bijgehouden. (Bijvoorbeeld de tijdlijn op Facebook of werkervaring op LinkedIn.)

    Ik denk hier ook bij even aan PayPal, waarmee je gewoon betalingen via je site kunt verwerken zonder dat je zelf privacygevoelige gegevens gebruikt. Immers, de betaling vindt plaats via PayPal en je krijgt uiteindelijk alleen bericht dat er is betaald, hoeveel er is betaald en waar het pakket heen gestuurd moet worden. Ik verwerk die data dan niet echt, want PayPal doet dat. Of is dit te kort door de bocht?

    In ieder geval, bij het gebruik van de providers die ik net allemaal heb genoemd ben je als gebruiker al een overeenkomst aangegaan met die providers. En later dus ook met mij op mijn site. Is zo’n bewerkersovereenkomst dan eigenlijk nog wel nodig? Immers, mijn site verwerkt geen gegevens maar haalt deze elders op omdat mijn site daar toestemming voor heeft gekregen van de bezoeker…

    1. Het is niet doorgeschoten. Het is gebleken dat minder vergaande maatregelen massaal omzeild worden en daardoor niet effectief zijn.

      Alle partijen wisten wat de bedoeling van de oude wetgeving was en saboteerde die bewust. Dan moet je niet gek opkijken als je dit soort regels opgelegd krijgt. Dan had je je in de eerste plaats maar netjes moeten gedragen.

  4. Arnout, hoe zit het eigenlijk met zakelijke emails? Stel, ik ben een recruiter en stuur een email met een Cv. Persoonlijke gegevens dus. Ik moet dus met de ontvanger eerst een verwerkersovereenkomst sluiten, zelfs als de eigenaar van het Cv mij toestemming heeft gegeven om het document te delen met potentiele opdrachtgevers. Lijkt me nogal lastig. Ken zo nog wel een paar voorbeelden.

    1. Dan moet je met de eigenaar van die gegevens een verwerkersovereenkomst sluiten, maw. de persoon waarvan het CV is. Als in die verwekersovereenkomst staat dat je het CV mag delen met derden, dan heb je in principe aan de voorwaarden voldaan.

      Er staat nergens in de wet dat persoonsgegevens onder geen enkele omstandigheid openbaar mogen worden gemaakt, maar wel dat het alleen met expliciete toestemming mag. In veel gevallen is die expliciete toestemming vastgelegd in een verwerkersovereenkomst. Immers, als publiceren van persoonsgegevens door de persoon zelf nooit zou mogen, dan zouden telefoonboeken en visitekaartjes ook ophouden te bestaan.

      Als een sollicitant een recruiter toestemming geeft om zijn CV ongevraagd naar weet-ik-veel-wie te sturen, dan lijkt het me nogal logisch dat hij daarmee toestemming geeft om de gegevens in zijn CV te openbaren.

  5. Ik heb een reseller-account bij een Nederlandse hostingpartij en huur daar een VPS server. Ik maak websites voor klanten en host die op dat account, zo ook hun email accounts. Alle websites worden door mij technisch onderhouden. Voor de klanten heb ik ook contactformulieren ed geinstalleerd die zij gebruiken. Voor veel van die websites beheer ik ook de content. Ik log daarvoor in het backend van die sites. Daarbij heb ik technisch de mogelijkheid om de opgeslagen persoonsgegevens uit die contactformulieren te zien. Kan ik ook anderszins via de database op de server zien, als ik zou willen. Omdat ik geen enkele trek heb om verwerkersovereenkomsten te gaan sluiten, heb ik al mijn klanten geadviseerd hun contactformulieren te vervangen door een eenvoudige contactpagina met emailadres. Maar…die emails lopen ook via de gehuurde VPS-server. Moet ik een verwerkersovereenkomst met mijn klanten sluiten? En zo ja…. hoe kom ik daar van af?

    1. Jij bent degene die deze servers onderhoudt en dus ben jij een mede-verwerker, mits de betreffende sites ook persoonsgegevens verwerken en jij deze eenvoudig kunt inzien. Je VPN host zit eigenlijk in dezelfde situatie maar is meer te vergelijken met PasteBin, want PasteBin verzorgt alleen de infrastructuur en bewerkt niet de data. Jouw host is ook niet actief met de data. Maar jij beheert content en kan daardoor (mogelijk) persoonsgegevens verwerken die onderdeel is van die content. Daarmee ben jij ook een verwerker en heb je dus deze overeenkomst nodig.

      En geloof mij, die overeenkomst wil je enorm graag hebben omdat je dan eventuele aansprakelijkheid naast je neer kan leggen als je klanten foute dingen doen met die persoonsgegevens.

      Aan de andere kant, hoewel jij die contactgegevens kunt inzien is het niet jouw taak om die te verwerken. Jij biedt alleen die mogelijkheid en regelt alleen het beheer. Daarvoor heb je een contract met je klanten en in dat contract moet je vermelden dat jij niet de contactgegevens beheert maar alleen je klant een oplossing biedt om zelf de klanten te beheren. Jij beheert dus niets, dus ben je geen verwerker. Jij bent dus passief. Maar zorg dat hier wel duidelijkheid over is tussen jou en je klant. Je klant moet beseffen dat jij geen persoonsgegevens beheert. Jij geeft hen alleen middelen zodat zij dat kunnen doen. Toch, @Arnoud?

      1. Het begint voor mij altijd bij de vraag: kan de andere partij bij de persoonsgegevens? Zo ja, dan is de enige vraag nog of hij daar naar eigen inzicht mee kan werken of dat jij bepaalt wat er mee gebeurt. In het laatste geval is hij een verwerker. Ik zou Pastebin dus niet als verwerker zien, want die beslissen zelf hoe ze de data publiceren die jij daar parkeert.

        Het lastige is bij zulke passieve partien als hosters of doorgiftepartijen. Die doen er niets mee in het normale spraakgebruik, maar zuiver technisch doen ze dat wel: ze slaan de gegevens op. Weliswaar in opdracht, maar ze doen het. Het is vergelijkbaar met een koerier die een usb-stick van A naar B transporteert. Dat is verplaatsing van persoonsgegevens, en het kwijtraken van die stick zouden we een datalek noemen. Dus verwerkt die koerier persoonsgegevens, ook al heeft hij geen idee wat er op die stick staat. Daarom voelt het wat onbevredigend dat we de koerier of de hoster een verwerker zouden noemen.

  6. @Wim: je geeft de feitelijke situatie heel goed weer en inderdaad, de verwerkersovereenkomst kan ook in mijn voordeel werken; ik heb die alleen negatief bekeken. Dank voor je reactie! Benieuwd of Arnoud het hiermee eens is.

  7. Arnoud: ik probeer deze reactie nog een keer te plaatsen, misschien lukt het nu wel. Per mail had je het over een leeg bericht, maar daaronder had je mijn bericht gequote. Nouja, we zien wel 🙂

    Als er echter gestructureerde velden zijn voor persoonsgegevens (al is het maar jouw gebruikersnaam etc) dan voldoet deze partij aan de definitie van bewerker
    Het is denkbaar dat een aanbieder een formulier aanbiedt met gestructureerde velden, maar tevens onder de bescherming van art. 6:196c lid 4 BW valt. Dan heb je een bewerker die niet aansprakelijk is voor de inhoud. Waarom zou zo’n verwerker nog een verwerkersovereenkomst sluiten of een verwerkingsregister bijhouden?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.