Een lezer vroeg me:
Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen zorgen dit is legaal” van de klant is ook weer te weinig, lees ik.
De AVG legt dienstverleners inderdaad een zorgplicht op. Wie als verwerker persoonsgegevens voor zijn klanten beheert, moet daarbij aan de bel trekken als hij een evident niet-toegelaten instructie krijgt van een klant. Dit is in aanvulling op je gewone zorgplicht als dienstverlener om als een “goed dienstverlener” om te gaan met klantgegevens en uitvoering van de opdracht.
Dit gaat niet zo ver dat je iedere theoretische overtreding moet weigeren totdat een volledige privacy impact assessment is uitgevoerd door een onafhankelijke audit-team, maar je zult wel echt meer moeten doen dan uitsluitend afgaan op “onze afdeling Legal zegt dat het mag” in een mailtje van de klant.
Mijn advies is om bij de veel voorkomende situaties een werkproces te definiëren en dat deel van je Service Level Agreement te maken. Al is het maar “Klant dient een reglement omtrent toegang tot personeelsmailboxen te hebben en toegangsverzoeken te motiveren onder verwijzing naar de toepasselijke paragraaf”. Dan krijg je dus twee regels “overnemen mailbox wegens ziekte, artikel 13.5, informeren wn onmogelijk om medische redenen” en dat staat inderdaad in artikel 13.5 als grondslag. En dan is er geen sprake van evidente schending van de AVG.
Natuurlijk kan het zijn dat de werkelijke reden is dat er wordt gesnuffeld in de mailbox om iemand weg te pesten, of dat de werknemer helemaal niet medisch gezien onbereikbaar is. Of dat dit reglement nooit is getoond aan deze werknemer. Maar dergelijke opties zijn te ver weg voor jou als dienstverlener om te testen. Dus met zo’n duidelijke motivatie is het genoeg voor de dienstverlener.
Maak je je desondanks zorgen over misbruik, dan kun je ook gaan nadenken over concreet iets inbouwen in je systeem. Denk aan een alert dat de werknemer bij inlog een melding geeft wie er toegang heeft gehad. Voor de werknemer zou dit geen verrassing moeten zijn, want de werkgever moet hem vertellen dat hij in zijn mailbox is geweest. Is het wel een verrassing, dan kunnen ze dat nu samen op gaan lossen. Ik zou dit wel als feature documenteren zodat het de werkgever niet verrast en hij wanprestatie gaat claimen.
Arnoud