Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 35 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het iemand laten tekenen van een verwerkersovereenkomst is iets dat je kunt doen om AVG compliance aan te tonen, dus zullen er verwerkersovereenkomsten worden getekend. Tegen beter weten in dan ook vandaag, wanneer is iemand nou een verwerker?

De positie van een verwerker onder de AVG is in theorie heel simpel. Dat is een partij die door de verantwoordelijke is ingeschakeld om bepaalde dingen te doen met persoonsgegevens. De verantwoordelijk bepaalt daarbij wat er uiteindelijk moet gebeuren en hoe (“doel en middelen”, in de AVG terminologie), zij het dat de verwerker wel enige ruimte heeft om dit praktisch in te vullen.

Een simpel voorbeeld van een verwerker is een clouddienstverlener die jouw klantgegevens online opslaat. Jij kiest voor die clouddienst en welke gegevens je daar opslaat, de praktische invulling daarvan laat je aan de dienstverlener. Die is dus een verwerker. Géén verwerker is een clouddienst zoals Facebook, omdat die zelf bepaalt welke gegevens ze willen hebben en wat ze daarmee doen.

Natuurlijk zit je vaak met grijze gevallen. Zo’n clouddienst kan die klantgegevens gebruiken voor eigen “kwaliteitsdoeleinden”, of zelfs reclameprofielen opbouwen van die klanten en daar gerichte reclame aan tonen. Dan verschuift die dienstverlener van een zuivere verwerker toch meer richting een eigen verantwoordelijkheid. Er zijn helaas niet echt harde regels om hier een algemene scheidslijn in te trekken.

Ik heb een tijdje terug een advieswizard gemaakt die probeert met een aantal vragen een inschatting te maken. Dat werkt beter dan vage passages zoals in de Handleiding AVG van de Rijksoverheid, met daarin

Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.

Hierdoor gaan mensen dus denken dat een clouddienstverlener of IT-supportbedrijf geen verwerker is omdat het gebruik van persoonsgegevens een “uitvloeisel” is van de echte opdracht. Er is niet één vuistregel, één formule om dit te bepalen. Je moet kijken naar alle factoren bij elkaar, en zo inschatten hoe veel eigen ruimte de dienstverlener heeft om te bepalen wat hij doet.

In ieder geval sluit je géén verwerkersovereenkomst met

  1. Je personeel. Die zijn immers gewoon deel van je eigen organisatie.
  2. Je vrijwilligers en ingehuurde krachten. Die vallen onder het kopje “personen onder gezag” van jouw organisatie en zijn dus geen verwerkers.
  3. De personen wiens persoonsgegevens je verwerkt. Ja, dit wordt geëist.
  4. Bedrijven die contactgegevens van jouw personeel in hun CRM systeem stoppen. Dat doen ze immers voor hun eigen bedrijfsvoering.

Overigens zou de verwerkersovereenkomst eigenlijk afgeschaft moeten worden, maar dat een andere keer.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

| AE 5901 | Informatiemaatschappij | 23 reacties

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

Mag een school zijn informatiesystemen wel uitbesteden?

| AE 5193 | Privacy | 20 reacties

Een lezer vroeg me:

De school van mijn dochter gaat gebruik maken van het leerlingvolgsysteem ParnasSys. Dit is een SaaS-dienst, waarbij persoonsgegevens worden verzameld. Maar ik kan nergens vinden dat het bedrijf dit heeft aangemeld bij het College bescherming persoonsgegevens! Mag dit dan wel?

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je je verwerking moet melden bij de toezichthouder. Ja, altijd. Maar omdat je dan inderdaad helemáál knettergek wordt van die wet, is er een serie vrijstellingen opgenomen. Zo hoef je een intranet niet (meer) te melden, mits je maar binnen de regels van de vrijstelling blijft.

Misverstand daarbij is trouwens dat “onder de vrijstelling vallen” betekent dat je legaal bent. Je hebt echter nog stééds adequate toestemming of een andere grondslag nodig.

Er is een vrijstelling voor leerlingen, deelnemers en studenten aan een onderwijsinstelling waar een school gebruik van kan maken. Ze mogen de gegevens dan bv. alleen gebruiken voor het onderwijs, beschikbaar stellen van leermiddelen, innen van lesgeld, het doen uitoefenen van accountantscontrole, het publiceren op de eigen website en zo nog een paar. Wil een school een Facebookpagina maken met leerlingfoto’s erop, dan vallen ze daarmee buiten de vrijstelling. Die pagina moet dan worden aangemeld.

Nu is het bedrijf achter ParnasSys geen school, dus zij mogen zich niet op de vrijstelling beroepen. Maar in deze situatie maakt men gebruik van de ‘bewerker’ constructie. Wanneer een school iemand inhuurt die in hun opdracht persoonsgegevens verwerkt, en de school bepaalt met welk doel, dan is het nog steeds de school die verantwoordelijk is. En dat is precies wat er bij SaaS-dienstverlening gebeurt. De school bepaalt dat ze een leerlingvolgsysteem wil en kiest welke functionaliteit ze daarvoor wil inzetten. ParnasSys doet zelf niets – als het goed is.

De wet schrijft voor dat je dan een bewerkersovereenkomst moet sluiten met de bewerker. Hierin leg je vast wat hij wel en niet mag doen, welke beveiligingsmaatregelen hij moet nemen, of je mag auditten en hoe je om wilt gaan met schadeclaims van benadeelde ouders of leerlingen. Dit gebeurt echter maar zelden bij SaaS-diensten.

Update (20:32) het bedrijf achter ParnasSys reageerde in de comments:

ParnasSys heeft een bewerkersovereenkomst met de gebruikers en die voldoet ook aan de richtlijnen van OC&W met betrekking tot de leerlingadministratie en het leerlingvolgsysteem.

Verder hebben wij een speciale demo-school met niet-bestaande voorbeeldleerlingen, maar wel met realistische data. Je ziet dus mooie grafieken en gewone namen, maar die namen zijn compleet gefingeerd. Niemand van onze medewerkers presenteert vanuit gegevens van een bestaande school, als we daar al bij zouden kunnen. Je koopt toch geen pakket waar bij de presentatie al privacy-grenzen overschreden worden?

Het echte probleem zit hem volgens mij meer in de mogelijkheden, waar veel scholen niet goed bij stilstaan. Er zijn systemen waarbij ouders de geboortedata van álle klasgenoten kunnen zien. Is dat erg, is dat wenselijk? Ik weet het niet, maar zelden is dit een actieve beslissing, dit “doet het systeem gewoon” en dan wordt er achteraf een reden verzonnen waarom het oké is (“dat weten ze toch allang van elkaar”). Of er komen online cijferlijstinzagedingen, waar we ooit een aardige discussie over hadden. Wil je wel dat ouders alles kunnen zien wat er op school gebeurt?

Arnoud