Een lezer vroeg me:
Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?
De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.
Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)
Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En “volgens ons is het legaal, doe het!!1!” is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.
Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.
Arnoud
Geldt dit laatste niet primair voor degene die de informatie verwerkt (stoppen bij twijfel), en de ICT opdrachtnemer is dat toch niet? Zij bouwen toch alleen maar de tool?
Dan zou het toch voldoende moeten zijn om iets op te nemen als “Wij toetsen opdrachten aan relevante wetgeving en behouden ons het recht voor om op basis daarvan opdrachten te weigeren indien wij daartoe voldoende reden achten”? Vervolgens doe je alleen een vrij basale toets aan de hand van de argumenten die de opdrachtgever aandraagt, en ga je niet tot in detail op de stoel van hun juridische afdeling zitten. Als ze vervolgens dingen doen met de software die niet door de beugel kunnen, dan is dat hun probleem en niet de jouwe.
Volgens mij gaat het ook deels om de ethische kwestie van “klant vraagt iets in de software te bouwen wat van AVG niet mag en wij de kriebels van krijgen”. Wat dat betreft is het inderdaad goed duidelijk aan te geven dat je de AVG in je achterhoofd houdt en intern afstemt wat je absoluut nooit wil doen.
Dus een bedrijf dat Google GSuite gebruikt voor email en document-beheer kan dat gewoon doen zonder dat de medewerkers erover ingelicht hoeven te worden? Dit terwijl Google dus in theorie kan meekijken met alles wat ze doen? Okay, de werkgever moet dit dan uitleggen maar Google dus niet?
Dan vraag ik mij af wat er gebeurt als het bedrijf een nieuwe werknemer aanneemt en die werknemer niet door Google gemonitord wil worden. Moet die nieuwe werknemer dan maar weer weg of moet het bedrijf een uitzondering maken voor die lastige nieuwe medewerker?
Inderdaad kan een bedrijf GSuite gebruiken zonder afzonderlijke toestemming van de werknemer. De werkgever is in dit geval controller en Google verwerker (processor). Dit betekend niet dat er gemonitored kan worden. Daar is namelijk geen grondslag voor. Er is geen vrije toestemming (kan niet bij werknemers), voldoende eigen belang (van de werkgever) of contractuele noodzaak (in het arbeidscontract). Ook de andere gronden falen. Met andere woorden, GSuite mag alleen als het geen monitoring doet met uitzondering van datgene dat noodzakelijk is voor goede werking van GSuite (bugs verhelpen en beveiliging).
Wat interessanter is, is de vraag wanneer de verwerker geld als (mede-)controller. Also de verwerker kan bepalen hoe of waarom verwerking plaats vind dan is het een mede-controller (dit hangt niet af van hoe je het noemt). Niet het geval bij een cloud provider, maar soms wel het geval bij een dienstverlener in een maatwerkdienst.
Waarom is er per definitie geen voldoende eigen belang bij het monitoren van die mailboxen? Artikel 6 sub f kent geen categorische uitzondering voor mailboxen of voor personeel. Natuurlijk heb je een stevig argument te maken, maar jij lijkt dat a priori uit te sluiten. Kun je dat onderbouwen?