Een lezer vroeg me:
Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit ‘opgesloten’ in de app, waar de exploitant alle controle over kan uitoefenen. Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?
Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen. (Een verwerker is een partij die voor een verantwoordelijke een verwerking uitvoert, maar dus niet zelf doel of middelen bepaalt.)Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant (“there is no cloud”) de verantwoordelijke daarvoor is. Soms de verwerker – als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken.
Omgekeerd, enkel het leveren van middelen maakt je geen verwerkingsverantwoordelijke. Als je dus een lokale applicatie gebruikt en daarin persoonsgegevens verwerkt, heeft de leverancier geen rol onder de AVG. Jij (of je organisatie) bent dan zelf de verwerkingsverantwoordelijke.
De situatie met een app is iets ingewikkelder. De vraagsteller noemt het “opsluiten”, dus de data is niet even uit de app te halen zoals bij desktopapplicaties waar je gewoon databestanden naast het programma hebt staan. En natuurlijk kan een app-leverancier veel makkelijker updates forceren dan een traditionele desktopsoftwareleverancier.
Toch maakt dat hem denk ik niet direct een verwerkingsverantwoordelijke: de appleverancier bepaalt nog steeds niet wat je doet met de app, dat doe jij als gebruiker van de app. Natuurlijk wordt dat anders als er functies ingebouwd zijn die onder controle van de leverancier dingen doen (zoals adresboeken uploaden), maar dan hebben we vaak meteen ook te maken met cloudopslag.
Als verwerkingsverantwoordelijke heb je de plicht te zorgen voor de rechten van de betrokken personen. Dat kan dus betekenen dat je ze een kopie van hun persoonsgegevens moet geven, en correcties moet doorvoeren. Als zo’n app dat niet toestaat, ben jij dus niet AVG compliant. De AVG regelt alleen niet dat jij van je leverancier dan een update kunt eisen waarmee dat wel kan – die zegt, gebruik die app dan maar niet.
“Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant (“there is no cloud”) de verantwoordelijke daarvoor is.” Ook als die data zelf encrypted is (dus niet alleen tijdens transport) en ik alleen de sleutel heb?
Dat is een beetje spijkers op laag water zoeken. Het punt is dat encrypted persoonsgegevens nog steeds persoonsgegevens zijn, na ontsleuteling zijn ze weer leesbaar. Juridisch noemen we dit pseudonimiseren, en dat is een mooie beveiligingsmaatregel want er moeten nu twee dingen lekken vanaf twee onafhankelijke locaties. Maar de AVG blijft van toepassing.
De vraag is dan, wie beslist over wat er met de data mag gebeuren. Ik denk nog steeds die dienstverlener, die bepaalt wanneer/hoe jij erbij mag, wat ze zelf doen (virusscannen, fingerprinten, etc). Het zal niet veel waarde hebben, maar de dienstverlener mag bijvoorbeeld zeggen, je mag maar X mb per dag downloaden. Of: in het weekend geen toegang vanwege onderhoud. Dat is voor mij handelen van een verantwoordelijke.
Dat lijkt me erg ingewikkeld. Als partij A een versleuteld bestand opslaat met contact gegevens in noem eens wat: dropbox. Hoe kan Dropbox dan verwerkingsverantwoordelijke zijn? Moeten ze dan een privacyreglement opstellen? Ze weten niet om wat voor info het gaat, voor welke klanten, sterker nog ze kunnen niet eens weten dat hun klant überhaupt persoonsgegevens bij ze plaatst.
De makers van zo’n app weten dat wel.
Dat is het ook. Het punt is, als je persoonsgegevens onder je neemt dan bén je per definitie verwerkingsverantwoordelijke. Dat je niet weet welke gegevens en dat je ze alleen opslaat tot een klant ze wil hebben, dat maakt je label niet anders. Maar je hebt gelijk dat het tot hele gekunstelde situaties leidt. Alleen laat de systematiek van de wet volgens mij niet toe dat er wat andres uitkomt.
Ik had het voorheen altijd anders begrepen, en eigenlijk nog steeds. Je schrijft zefr: ‘Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen’
Dropbox bepaalt toch niet doel en middelen? Dat wordt door de klant van Dropbox bepaald: Doel is: ‘bijhouden ledenadministratie van de damclub’, middel =eigen laptop + mirror op Dropbox.
Het lijkt me niet de bedoeling van de wet dat Dropbox verwerkingsverantwoordelijke is voor data die ze niet eens weten dat ze die zelf opslaan? Dan zou Dropbox ALLE data, al zijn het de beurskoersen uit 2003, moeten behandelen als ware het privacygevoelige data.
Het hangt er vanaf wat die cloud provider met de data doet. Ik citeer uit de EDPB Guidelines07/2020 on the processor: A large cloud storage provider offers its customers the ability to store large volumes of personal data. The service is completely standardised, with customers having little or no ability to customise the service. (…) provided to the customer on a “take it or leave it basis”. In dat geval is de klant controller en de cloud provider de processor. Dat wordt anders als de cloud provider de data voor eigen doelen gaat verwerken.