Mag ik een klant persoonsgegevens over zijn logins verschaffen?

| AE 9761 | Beveiliging, Cloud | 8 reacties

Een lezer vroeg me:

Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?

Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account – en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.

Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.

Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Arnoud

Deel dit artikel

  1. Dit soort verzoeken vallen, lijkt mij, buiten de gebruikelijke dienstverlening. Ik zou als cloudprovider sowieso bij de klant aangeven dat het verzoek “wordt gefactureerd tegen het gebruikelijke uurtarief à 85 euro, graag akkoord incl. PO number”. Ik durf te wedden dat 95% van de verzoekjes dan al ingetrokken wordt.

    • Dat is natuurlijk geen probleem. Ik schat in dat het inloggen op de server en het uitvoeren van een

      cat logfile | grep ppuk > \users\ppuk\alstublieft.txt

      u maximaal 10 minuten kost. Als u denkt meer tijd nodig te hebben zou ik hiervan graag een uitleg/specificatie ontvangen.

      PS: Jammer dat u zo moeilijk doet over kleine hulpvragen terwijl we ruim 1000 euro per maand betalen. We zullen dit meenemen bij de komende contractverlenging. Volgens de site van De Concurrent heeft hun pakket standaard de mogelijkheid om in de logging te kijken.

  2. Ik snap taalgebruik “gerechtvaardigd”, “redelijk belang”, “niet mijn taak hierop te letten” en “mag dus weigeren” niet. Als logingedrag inderdaad te classificeren is als persoonsgegevens, en de dienstverlener deze gegevens ook in bezit heeft, heeft de gebruiker toch gewoon RECHT op inzage…

    Edit: kwartje valt misschien nu pas: de vraagsteller vraagt niet na over zijn eigen account na, maar over die van een ander?

  3. Om het nog even aan te scherpen: het lijkt me dat de werkgever zo’n verzoek pas zou mogen doen indien en voorzover die mogelijkheid in een deugdelijk reglement is benoemd én de Ondernemingsraad (als die er is) met dat reglement heeft ingestemd.

    Zie bv. wat de Autoriteit Persoonsgegevens zegt (hier, onder ‘Wanneer moet een werkgever instemming vragen aan de OR?’) :

    een werkgever [moet] instemming aan de OR vragen als hij een regeling wil vaststellen, wijzigen of intrekken voor het gebruik van personeelsgegevens en personeelsvolgsystemen.
    Elders legt de AP uit wat met ‘personeelsvolgsysteem’ bedoeld wordt (hier, onder ‘overige vragen’, ‘Wat is een personeelsvolgsysteem?’):
    Een personeelsvolgsysteem is elk geautomatiseerd systeem dat geschikt is om personeel te volgen. Gebruikt een werkgever een bepaald systeem niet om personeel te volgen, maar zou dit wel kunnen? Ook dan is dit aan te merken als een personeelsvolgsysteem.

    Er zijn echter maar weinig organisaties die alle bedoelde regelingen – als die er überhaupt zijn – netjes aan hun OR ter goedkeuring voorleggen. Men krijgt het nog druk voor 25 mei…

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS