Een lezer vroeg me:
Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?
Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account – en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.
Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.
Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.
De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.
Arnoud
Dit soort verzoeken vallen, lijkt mij, buiten de gebruikelijke dienstverlening. Ik zou als cloudprovider sowieso bij de klant aangeven dat het verzoek “wordt gefactureerd tegen het gebruikelijke uurtarief à 85 euro, graag akkoord incl. PO number”. Ik durf te wedden dat 95% van de verzoekjes dan al ingetrokken wordt.
Dat is natuurlijk geen probleem. Ik schat in dat het inloggen op de server en het uitvoeren van een
cat logfile | grep ppuk > \users\ppuk\alstublieft.txt
u maximaal 10 minuten kost. Als u denkt meer tijd nodig te hebben zou ik hiervan graag een uitleg/specificatie ontvangen.
PS: Jammer dat u zo moeilijk doet over kleine hulpvragen terwijl we ruim 1000 euro per maand betalen. We zullen dit meenemen bij de komende contractverlenging. Volgens de site van De Concurrent heeft hun pakket standaard de mogelijkheid om in de logging te kijken.
Ik snap taalgebruik “gerechtvaardigd”, “redelijk belang”, “niet mijn taak hierop te letten” en “mag dus weigeren” niet. Als logingedrag inderdaad te classificeren is als persoonsgegevens, en de dienstverlener deze gegevens ook in bezit heeft, heeft de gebruiker toch gewoon RECHT op inzage…
Edit: kwartje valt misschien nu pas: de vraagsteller vraagt niet na over zijn eigen account na, maar over die van een ander?
Er zit een verschil tussen de afnemer en de gebruiker. Denk aan de situatie dat een bedrijf een personeelslid laat inloggen, het bedrijf is dan de afnemer (betaalt de rekening) en dat personeelslid is de gebruiker (doet het werk). Dan is de vraag dis, mag het bedrijf weten wat die werknemer heeft uitgespookt achter het account?
Als de afnemer de gebruiker vooraf moet informeren over de controle die hier bedoeld is, dan is het toch een makkie om ook die cloudleverancier aan te geven dat het verzoek gerechtvaardigd is. En andersom zou de leverancier in zijn standaard voor de contracten er goed aan doen om op zo’n verantwoording te anticiperen. Als je gebruiker de bescherming wilt bieden die de wet bedoelt, zal je de waarborgen over de gehele keten moeten tegenkomen.
Interessante vraagstelling en met name ook de reacties er op!
Om het nog even aan te scherpen: het lijkt me dat de werkgever zo’n verzoek pas zou mogen doen indien en voorzover die mogelijkheid in een deugdelijk reglement is benoemd én de Ondernemingsraad (als die er is) met dat reglement heeft ingestemd.
Zie bv. wat de Autoriteit Persoonsgegevens zegt (hier, onder ‘Wanneer moet een werkgever instemming vragen aan de OR?’) :
Elders legt de AP uit wat met ‘personeelsvolgsysteem’ bedoeld wordt (hier, onder ‘overige vragen’, ‘Wat is een personeelsvolgsysteem?’):Er zijn echter maar weinig organisaties die alle bedoelde regelingen – als die er überhaupt zijn – netjes aan hun OR ter goedkeuring voorleggen. Men krijgt het nog druk voor 25 mei…
Het mag ook voor het correcte en veilige werken van de systemen. Ofwel, als het om (vermoedelijke) hack pogingen gaat of als er een stabiliteit of capaciteitsprobleem is. Voor beide zou het makkelijk zijn dit te motiveren.