Mag ik als SaaS-dienstverlener klantdata laten delen met een derde?

Geplaatst op in Privacy, Security, 1 reacties
Photo by Claudio Schwarz on Unsplash

Een lezer vroeg me:

Wij leveren software-as-a-service diensten waarmee klanten data verwerken. Dit kunnen persoonsgegevens zijn. Onze klanten vragen ons om de mogelijkheid klantdata te delen met derden. Mogen wij dat faciliteren? Wij kunnen niet overzien of er toestemming is van de personen om wiens data het gaat, of dat er wel een verwerkersovereenkomst is met de ontvangende partij.
Dit is een vraag die ik regelmatig krijg. Vaak gaat het om SaaS diensten waarbij de vraag gaat om een koppeling of API, zodat de toegang door de derde automatisch mogelijk is. Maar soms wordt ook handmatige assistentie gevraagd, zeg maar “kun je een database dump naar partij X sturen voor ons”.

Juridisch maakt dat niet heel veel uit. Het gaat hier om persoonsgegevens die de klant verwerkt in het systeem. In termen van de AVG is de dienstverlener dan de verwerker, omdat de klant bepaalt voor welke doelen dit gebeurt. In die context is het ook de keuze van de klant wie toegang mag hebben tot de gegevens, dus als die een derde partij aanwijst dan heeft de verwerker dat maar uit te voeren.

Een specifieke zorgplicht voor de verwerker om na te gaan of dat wel rechtmatig is, kent de AVG niet. Dus tenzij je zelf heel duidelijke aanwijzingen ziet dat hier iets misgaat, hoef je hier niet aan te twijfelen. Hetzelfde geldt vanuit je algemene zorgplicht als ict-dienstverlener.

Bij een API koppeling of delen/share-functie is het vaak zelfs niet eens mogelijk om zo’n check te doen. Als iemand een geldige API-sleutel heeft, dan moet dat wel dankzij een autorisatie van je klant zijn (behoudens aanwijzingen voor cyberinbraken) dus dan is dit geautoriseerd.

Als verwerker ben je wel gehouden te zorgen dat dit op een veilige manier gebeurt, uiteraard tot het eindpunt van afleveren bij die derde. Dus de API moet een beveiligd kanaal hebben, het sleutelbeheer moet conform de stand der techniek gebeuren en ga zo maar door. Een Excelbestand maken en via de mail versturen naar het mailadres dat de klant in een ticket doorgaf, zou ik wat riskant vinden.

Arnoud

Eén reactie

  1. Nu zie ik wel eens klanten van zulke verwerkers die wijzen naar de verwerker om te stellen dat alles ok is. Langs de andere kant zijn er ook “verwerkers” die niet alleen verwerker zijn maar veel verder gaan, maar wel achter “wij zijn slechts verwerker” schuilen.

    Beantwoorden
    Nuttige reactie, +1! (6)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.