Hoe de curator toegang kan krijgen tot een administratie in de cloud

| AE 13494 | Ondernemingsvrijheid | 10 reacties

“De curatoren hebben te maken met een grote en machtige Amerikaanse partij die elk risico dat zij mogelijk wereldwijd loopt als gevolg van de sancties, hoe klein ook, koste wat kost wil zien te vermijden en zich daarbij alleen door haar eigen belangen laat leiden.” Oh kijk, dat was een gezellige boel in Amsterdam: cloudleverancier Microsoft weigerde de curatoren van een dochter van de Russische Alfa Bank toegang te geven tot de bedrijfsadministratie, onder meer onder verwijzing naar de EU-sanctieregels tegen Russische bedrijven. Een dilemma zoals we dat vaker horen, de Nederlandse wet zou tot iets verplichten maar vanwege altijd schimmig blijvende “US law” zouden bedrijven daar dan geen gehoor aan hoeven geven.

In april ging de betreffende dochter – de Amsterdam Trade Bank – failliet, mede vanwege sanctieregels: “Leveranciers van bijvoorbeeld software konden door de strafmaatregelen niet langer zaken doen met ATB, waardoor het heel moeilijk was om nog verder te gaan met bankieren”, zo meldde het AD. Dat is op zich een begrijpelijke consequentie van sancties, maar creëert hier wel een bijzonder probleem bij de afwikkeling van datzelfde faillissement.

Je zou zeggen dat dit een klaar klontje was. De Faillissementswet zegt immers in artikel 105b letterlijk dat iedereen die administratie van een failliet heeft, die moet geven:

Derden met inbegrip van accountantsorganisaties en een externe accountant, die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen die administratie en de daartoe behorende boeken, bescheiden en andere gegevensdragers desgevraagd volledig en ongeschonden aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.
Microsoft weigerde echter, en dat ging zelfs zo ver dat niet eens duidelijk was welke partij eigenlijk de administratieve dienstverlening verricht. Daardoor ontstond het basale probleem van wie te dagvaarden, waarop de curatoren maar gewoon een vaste advocaat van Microsoft aanschreven. Men belandde uiteindelijk toch in de rechtszaal, en de ergernis van de rechter spat van het vonnis:
In de aanloop naar dit kort geding heeft (de advocaat van) Microsoft verstoppertje gespeeld door niet kenbaar te maken welke Microsoft-vennootschap moest worden gedagvaard en door nog niets van haar verweer prijs te willen geven.
Ook met de inhoudelijke vraag heeft de rechter weinig moeite. In de Nederlandse wet staat dat de curatoren recht hebben op de administratie, dus die moet Microsoft geven. Dat ze dan wellicht klem komt te zitten met andere wetgeving uit andere landen is haar probleem, maar geen excuus om onze wet te negeren als je in Nederland zaken wilt doen. Bovendien valt het inhoudelijk wel mee, als je die Sanctieverordening goed leest:
Evenmin is aannemelijk dat Microsoft bij het voldoen aan het gevorderde strafrechtelijke of financiële risico’s van enige betekenis loopt. Het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement kan voorshands niet worden aangemerkt als een door de EU Sanctieverordening verboden handeling (het ter beschikking stellen van “economische middelen” die kunnen worden gebruikt om “tegoeden, goederen of diensten te verkrijgen”). Ook ten aanzien van het Amerikaanse sanctieregime geldt dat voorshands niet aannemelijk is dat het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement strijd oplevert met de verplichting eigendommen van gesanctioneerde (rechts)personen te blokkeren en/of strijd oplevert met het verbod die eigendommen over te dragen, waarbij het nog de vraag is of gedaagde sub 3 (Microsoft Ireland Operations Limited) al dan niet (indirect) gebonden is aan het Amerikaanse sanctieregime.
Die laatste is ook een leuke in AVG-verband: de discussie over gebondenheid aan de US Cloud Act versus de Europese AVG gaat over precies hetzelfde probleem, namelijk of je gebonden bent aan beide wetten tegelijk en welke dan wint. Het antwoord is dus: mogelijk ben je aan beiden tegelijk gebonden, en je kunt dus tegenstrijdige vonnissen krijgen uit de VS en Europa en dan is dat even heel vervelend voor jou maar je gaat er wel aan voldoen:
veroordeelt gedaagde sub 3 (Microsoft Ireland Operations Limited) om al hetgeen noodzakelijk is te doen, zodat gegarandeerd is dat de Stichting Vereffening binnen 48 uur na het wijzen van dit vonnis ongehinderde toegang tot, en gebruik van, de volledige Microsoft-omgeving heeft en blijft houden, op straffe van een dwangsom van EUR 10 miljoen voor elke 24 uur na betekening van dit vonnis dat de Stichting Vereffening die ongehinderde toegang tot, of gebruik van, niet of niet volledig (meer) heeft, met een maximum van EUR 100 miljoen.
Een dwangsom van (maximaal) 100 miljoen euro is bij mijn weten in Nederland nog niet voorgekomen, en het is minstens zo opmerkelijk dat deze al na tien dagen aangetikt wordt. Dat onderstreept wel de haast die de rechtbank ziet. En terecht: 23.000 particuliere spaarders van de bank kunnen nu niet bij hun geld.

Arnoud

Als ik een app met datagevangenis gebruik, is de leverancier dan verantwoordelijke onder de AVG?

| AE 13226 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me:

Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit ‘opgesloten’ in de app, waar de exploitant alle controle over kan uitoefenen. Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?

Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen. (Een verwerker is een partij die voor een verantwoordelijke een verwerking uitvoert, maar dus niet zelf doel of middelen bepaalt.)

Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant (“there is no cloud”) de verantwoordelijke daarvoor is. Soms de verwerker – als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken.

Omgekeerd, enkel het leveren van middelen maakt je geen verwerkingsverantwoordelijke. Als je dus een lokale applicatie gebruikt en daarin persoonsgegevens verwerkt, heeft de leverancier geen rol onder de AVG. Jij (of je organisatie) bent dan zelf de verwerkingsverantwoordelijke.

De situatie met een app is iets ingewikkelder. De vraagsteller noemt het “opsluiten”, dus de data is niet even uit de app te halen zoals bij desktopapplicaties waar je gewoon databestanden naast het programma hebt staan. En natuurlijk kan een app-leverancier veel makkelijker updates forceren dan een traditionele desktopsoftwareleverancier.

Toch maakt dat hem denk ik niet direct een verwerkingsverantwoordelijke: de appleverancier bepaalt nog steeds niet wat je doet met de app, dat doe jij als gebruiker van de app. Natuurlijk wordt dat anders als er functies ingebouwd zijn die onder controle van de leverancier dingen doen (zoals adresboeken uploaden), maar dan hebben we vaak meteen ook te maken met cloudopslag.

Als verwerkingsverantwoordelijke heb je de plicht te zorgen voor de rechten van de betrokken personen. Dat kan dus betekenen dat je ze een kopie van hun persoonsgegevens moet geven, en correcties moet doorvoeren. Als zo’n app dat niet toestaat, ben jij dus niet AVG compliant. De AVG regelt alleen niet dat jij van je leverancier dan een update kunt eisen waarmee dat wel kan – die zegt, gebruik die app dan maar niet.

Ben ik verwerker bij de accounts van mijn klanten?

| AE 12634 | Privacy | 7 reacties

Een lezer vroeg me:

Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts?
Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen te kort door de bocht. Mogelijk komt dit door een spraakverwarring: je verwerkt dan wel persoonsgegevens, maar je bent pas verwerker als je dat doet in opdracht van een ander (de verwerkingsverantwoordelijke).

Wanneer ik een dienst afneem, en daarbij zijn mijn persoonsgegevens nodig (bijvoorbeeld voor een account + facturatie, of voor het tonen van mij als gebruiker aan andere gebruikers) dan is de dienstverlener gewoon de verwerkingsverantwoordelijke. Hij bepaalt immers wat er gebeurt met die gegevens van mij: waar worden ze getoond, wie heeft er toegang toe en waar mogen ze worden ingezet.

Ik zou die dienst namens mijn bedrijf kunnen afnemen. Dan kunnen ook collega’s een account krijgen binnen het bedrijfsaccount, en normaliter betaal ik dan maar één keer. Dit verandert alleen nog niets aan de situatie voor verwerkerschap: de dienstverlener bepaalt nog steeds wat er gebeurt met al die persoonsgegevens, van zowel mij als van mijn collega’s. Hij blijft dan dus verwerkingsverantwoordelijke.

Een dienstverlener wordt verwerker wanneer het verwerken van de persoonsgegevens onderdeel is van de dienst, want het juridisch criterium is dat ik als klant doel en middelen vaststel. Het triviale voorbeeld is een personeelsadministratie: ik upload dan een set personeelsgegevens met bijvoorbeeld loongegevens, en de SaaS-dienst genereert loonstroken. Voor die set is men dan verwerker, want ik bepaal wat ik upload (welke personeelsleden, welke gegevens) en waarom (ik wil loonstroken).

De accounts om toegang te krijgen tot de dienst zijn volgens mij geen onderdeel van de dienst, zodat daarvoor geen verwerkersovereenkomst met de klanten nodig is. Zolang de leverancier/dienstverlener zelf bepaalt wat hij doet met die accounts, is hij daar zelf verwerkingsverantwoordelijke voor.

Arnoud

Mag Ziggo mijn mediabox-opnames verplaatsen naar de cloud?

| AE 12316 | Informatiemaatschappij, Ondernemingsvrijheid | 49 reacties

Een lezer vroeg me: Binnenkort start Ziggo met de uitrol van een ingrijpende update van haar mediabox XL. Deze update zorgt ervoor dat opnames voortaan in de cloud worden bewaard in plaats van op de harde schijf van het apparaat. Als gevolg daarvan worden alle opnames die nog op de harde schijf staan gewist. Opnames… Lees verder

Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

| AE 12267 | Ondernemingsvrijheid | 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu –… Lees verder

Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?

| AE 12195 | Ondernemingsvrijheid | 51 reacties

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je… Lees verder

Is Office 365 nu echt een AVG probleem of alleen voor Hessense openbare scholen?

| AE 11405 | Ondernemingsvrijheid, Privacy | 14 reacties

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond… Lees verder

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Security | 10 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen… Lees verder

Mensen boos omdat Google Docs hun privédocumenten als abuse aanmerkte

| AE 9788 | Informatiemaatschappij | 18 reacties

Mensen worden buitengesloten van hun Google Docs, en daar zijn ze boos over. Dat meldde Slate vorige maand. Om onduidelijke redenen merkte een grote groep mensen ineens dat de toegang tot bepaalde van hun documenten geblokkeerd was, met als melding dat hier de Terms of Service waren overtreden. Censuur, omdat het ging om privédocumenten? Uiteindelijk… Lees verder

Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Informatiemaatschappij | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor… Lees verder