Tag: Bewerker

About Bewerker

Subscribe Feeds

Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

Geplaatst op in Privacy, 36 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het iemand laten tekenen van een verwerkersovereenkomst is iets dat je kunt doen om AVG compliance aan te tonen, dus zullen er verwerkersovereenkomsten worden getekend. Tegen beter weten in dan ook vandaag, wanneer is iemand nou een verwerker?

De positie van een verwerker onder de AVG is in theorie heel simpel. Dat is een partij die door de verantwoordelijke is ingeschakeld om bepaalde dingen te doen met persoonsgegevens. De verantwoordelijk bepaalt daarbij wat er uiteindelijk moet gebeuren en hoe (“doel en middelen”, in de AVG terminologie), zij het dat de verwerker wel enige ruimte heeft om dit praktisch in te vullen.

Een simpel voorbeeld van een verwerker is een clouddienstverlener die jouw klantgegevens online opslaat. Jij kiest voor die clouddienst en welke gegevens je daar opslaat, de praktische invulling daarvan laat je aan de dienstverlener. Die is dus een verwerker. Géén verwerker is een clouddienst zoals Facebook, omdat die zelf bepaalt welke gegevens ze willen hebben en wat ze daarmee doen.

Natuurlijk zit je vaak met grijze gevallen. Zo’n clouddienst kan die klantgegevens gebruiken voor eigen “kwaliteitsdoeleinden”, of zelfs reclameprofielen opbouwen van die klanten en daar gerichte reclame aan tonen. Dan verschuift die dienstverlener van een zuivere verwerker toch meer richting een eigen verantwoordelijkheid. Er zijn helaas niet echt harde regels om hier een algemene scheidslijn in te trekken.

Ik heb een tijdje terug een advieswizard gemaakt die probeert met een aantal vragen een inschatting te maken. Dat werkt beter dan vage passages zoals in de Handleiding AVG van de Rijksoverheid, met daarin

Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.

Hierdoor gaan mensen dus denken dat een clouddienstverlener of IT-supportbedrijf geen verwerker is omdat het gebruik van persoonsgegevens een “uitvloeisel” is van de echte opdracht. Er is niet één vuistregel, één formule om dit te bepalen. Je moet kijken naar alle factoren bij elkaar, en zo inschatten hoe veel eigen ruimte de dienstverlener heeft om te bepalen wat hij doet.

In ieder geval sluit je géén verwerkersovereenkomst met

  1. Je personeel. Die zijn immers gewoon deel van je eigen organisatie.
  2. Je vrijwilligers en ingehuurde krachten. Die vallen onder het kopje “personen onder gezag” van jouw organisatie en zijn dus geen verwerkers.
  3. De personen wiens persoonsgegevens je verwerkt. Ja, dit wordt geëist.
  4. Bedrijven die contactgegevens van jouw personeel in hun CRM systeem stoppen. Dat doen ze immers voor hun eigen bedrijfsvoering.

Overigens zou de verwerkersovereenkomst eigenlijk afgeschaft moeten worden, maar dat een andere keer.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

Geplaatst op in Informatiemaatschappij, 23 reacties

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

Mag een school zijn informatiesystemen wel uitbesteden?

Geplaatst op in Privacy, 20 reacties

Een lezer vroeg me:

De school van mijn dochter gaat gebruik maken van het leerlingvolgsysteem ParnasSys. Dit is een SaaS-dienst, waarbij persoonsgegevens worden verzameld. Maar ik kan nergens vinden dat het bedrijf dit heeft aangemeld bij het College bescherming persoonsgegevens! Mag dit dan wel?

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je je verwerking moet melden bij de toezichthouder. Ja, altijd. Maar omdat je dan inderdaad helemáál knettergek wordt van die wet, is er een serie vrijstellingen opgenomen. Zo hoef je een intranet niet (meer) te melden, mits je maar binnen de regels van de vrijstelling blijft.

Misverstand daarbij is trouwens dat “onder de vrijstelling vallen” betekent dat je legaal bent. Je hebt echter nog stééds adequate toestemming of een andere grondslag nodig.

Er is een vrijstelling voor leerlingen, deelnemers en studenten aan een onderwijsinstelling waar een school gebruik van kan maken. Ze mogen de gegevens dan bv. alleen gebruiken voor het onderwijs, beschikbaar stellen van leermiddelen, innen van lesgeld, het doen uitoefenen van accountantscontrole, het publiceren op de eigen website en zo nog een paar. Wil een school een Facebookpagina maken met leerlingfoto’s erop, dan vallen ze daarmee buiten de vrijstelling. Die pagina moet dan worden aangemeld.

Nu is het bedrijf achter ParnasSys geen school, dus zij mogen zich niet op de vrijstelling beroepen. Maar in deze situatie maakt men gebruik van de ‘bewerker’ constructie. Wanneer een school iemand inhuurt die in hun opdracht persoonsgegevens verwerkt, en de school bepaalt met welk doel, dan is het nog steeds de school die verantwoordelijk is. En dat is precies wat er bij SaaS-dienstverlening gebeurt. De school bepaalt dat ze een leerlingvolgsysteem wil en kiest welke functionaliteit ze daarvoor wil inzetten. ParnasSys doet zelf niets – als het goed is.

De wet schrijft voor dat je dan een bewerkersovereenkomst moet sluiten met de bewerker. Hierin leg je vast wat hij wel en niet mag doen, welke beveiligingsmaatregelen hij moet nemen, of je mag auditten en hoe je om wilt gaan met schadeclaims van benadeelde ouders of leerlingen. Dit gebeurt echter maar zelden bij SaaS-diensten.

Update (20:32) het bedrijf achter ParnasSys reageerde in de comments:

ParnasSys heeft een bewerkersovereenkomst met de gebruikers en die voldoet ook aan de richtlijnen van OC&W met betrekking tot de leerlingadministratie en het leerlingvolgsysteem.

Verder hebben wij een speciale demo-school met niet-bestaande voorbeeldleerlingen, maar wel met realistische data. Je ziet dus mooie grafieken en gewone namen, maar die namen zijn compleet gefingeerd. Niemand van onze medewerkers presenteert vanuit gegevens van een bestaande school, als we daar al bij zouden kunnen. Je koopt toch geen pakket waar bij de presentatie al privacy-grenzen overschreden worden?

Het echte probleem zit hem volgens mij meer in de mogelijkheden, waar veel scholen niet goed bij stilstaan. Er zijn systemen waarbij ouders de geboortedata van álle klasgenoten kunnen zien. Is dat erg, is dat wenselijk? Ik weet het niet, maar zelden is dit een actieve beslissing, dit “doet het systeem gewoon” en dan wordt er achteraf een reden verzonnen waarom het oké is (“dat weten ze toch allang van elkaar”). Of er komen online cijferlijstinzagedingen, waar we ooit een aardige discussie over hadden. Wil je wel dat ouders alles kunnen zien wat er op school gebeurt?

Arnoud

Toegang tot een mailbox na overlijden?

Geplaatst op in Security, 12 reacties

Een lezer mailde me:

Wie is eigenaar van een zakelijke mailbox wanneer de werknemer ontslag neemt of komt te overlijden. Kunnen nabestaanden de inhoud claimen? Mogen wij als bedrijf daarin kijken? Wat moet je doen met mail die na vertrek of overlijden nog binnenkomt?

Dit is een lastige situatie. In oktober 2007 blogde ik over een artikel van advocate Eva Visser over de contractuele situatie als de eigenaar van een e-mailaccount komt te overlijden. Waarschijnlijk kun je dan als erfgenaam aanspraak maken op voortzetting van het contract, zodat je de toegang tot de mailbox kunt eisen.

Hier ligt het iets anders: het gaat om een zakelijke mailbox, en er is dus geen contract dat je als erfgenaam zou kunnen overnemen. (Een arbeidscontract eindigt automatisch bij overlijden van de werknemer.) Toegang eisen tot privémails uit deze mailbox lijkt me dus iets moeilijker. Ik denk dat je hier eigenlijk alleen op de coulance van het bedrijf kunt gooien.

Een ander punt is wat collega’s mogen doen met die mailbox. Er komen tenslotte zakelijke mails op binnen en het bedrijf moet nu eenmaal verder. Ik adviseer bedrijven altijd dat je dan wel in de mailbox mag kijken, maar dat je wel heel zorgvuldig moet zijn met wat je aantreft. De collega die erin kijkt moet met andere woorden strikt vertrouwelijk omgaan met wat hij in de mailbox aantreft, en het liefst alles weggooien wat niet zakelijk relevant is.

Ik moet nog steeds een lijstje maken met accounts, wachtwoorden en wie te contacteren als ik kom te overlijden. Jullie ongetwijfeld ook. Maar waar begin je met zoiets? En wil je wel dat bv. je ouders in al je mailboxen kunnen om je vrienden te mailen dat je dood bent? Want dan lezen ze wellicht ook mails die ouders niet zouden moeten lezen.

Arnoud