Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

| AE 9217 | Privacy | 12 reacties

Een lezer vroeg me:

Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel om het e-mail adres en inlog gegevens. En soms wéét je het niet, zoals bij chatdiensten (Yammer of Slack). Daar kunnen mensen best persoonsgegevens intypen. Wat zegt de wet?

Dit is inderdaad een lastige kwestie. Heel formeel moet dit inderdaad altijd, bij iedere derde die in jouw opdracht persoonsgegevens opslaat van jouw personeel of klanten. De wet eist namelijk dat je bij elke bewerker een bewerkersovereenkomst sluit waarin je apart regelt welke eisen omtrent persoonsgegevens hij moet nakomen (en hoe jij dat gaat borgen en auditten).

Een bewerker is iedereen die in jouw opdracht persoonsgegevens verwerkt en niet zelfstandig bepaalt voor welke doelen (of met welke middelen). De meeste clouddiensten laten aan de klant over wat er gebeurt met klantdata en kiezen dus niet zelf de doelen. Over de middelen-keuze kun je twisten, maar uiteindelijk is dat denk ik ook een klantkeuze: die klikt op knop A of activeert feature B, de dienstverlener is daar passief.

Het is een discussie of dat ook geldt als de derde niet wéét dat je persoonsgegevens gaat aanleveren. Extreem voorbeeld is Pastebin: daar kun je teksten plakken die dan gepubliceerd worden. Ik kan daar persoonsgegevens plakken, maakt dat Pastebin een bewerker?

Als er echter gestructureerde velden zijn voor persoonsgegevens (al is het maar jouw gebruikersnaam etc) dan voldoet deze partij aan de definitie van bewerker en moet er dus een bewerkrsovereenkomst komen. Doe je dat niet, dan ben jij in overtreding van de Wbp – zij het dat daar géén boete op staat. Het voornaamste risico is dat jij de claims krijgt als de bewerker data lekt of iets anders verkeerd doet, en dat je dan geen verhaalsmogelijkheid hebt.

Veel van dit soort partijen zijn Amerikaans en kennen het concept bewerkersovereenkomst (“Personal data processing agreement”) eigenlijk niet. Sommigen willen graag Europese business en tekenen met liefde, anderen vinden het maar onzin en reageren niet eens op de vraag. Het is dan dus een risico-afweging voor jou.

Onder de aankomende Privacyverordening (ADV: koop dat boek) zal dit mogelijk veranderen. De Verordening zegt namelijk dat ook de bewerker aansprakelijk is voor boetes en schade als er geen bewerkersovereenkomst – pardon, verwerkersovereenkomst – is tussen hem en de verantwoordelijke. In hoeverre dat afdwingbaar is tegen Amerikaanse partijen is natuurlijk een heel andere vraag.

Arnoud

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

ie-aagree-ezelGaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul.

Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch, want er was bar weinig geregeld. Bovendien kwamen de eerste commerciële sites uit Amerika, en daar staat sowieso alles dichtgetimmerd met voorwaarden. Dus dat schept een precedent, zeker bij sitebouwers die denken “het zal wel moeten” en de tekst van de vorige site copypasten. Sorry, ja, ik ben wat cynisch.

Hoe dan ook, iedere site heeft dus voorwaarden. Ze komen allemaal op ongeveer hetzelfde neer: doe normaal en zeur niet. Ah sorry, ga ik weer. Ze komen allemaal op hetzelfde neer: je mag de dienst gebruiken, hij kan wijzigen of uit de lucht zijn, wij zij niet aansprakelijk en als je je wangedraagt dan gooien we je er van af. Precies – zeur niet en doe normaal.

Omdat ze allemaal hetzelfde zijn, en vooral omdat je in de praktijk toch weinig verhaal hebt, leest geen hond die voorwaarden. Je kent de site van reputatie, je weet dus ongeveer wat moderatoren of auteurs gaan doen en je merkt het wel als je foto wordt geblokkeerd of je bijdrage wordt aangepast wegens schending voorwaarden. Daar heb je die voorwaarden niet voor nodig. Ook niet omdat uiteindelijk er altijd staat “naar ons inzicht”, dus hoe dan ook hebben ze gelijk. Zeur niet.

Dit experiment bewijst dus niets nieuws, wat mij betreft. Het is een feit van algemene bekendheid dat voorwaarden niet worden gelezen. Desondanks: je zit er in principe wél juridisch aan vast. Het zijn algemene voorwaarden zoals de wet dat noemt, en die zijn ook bindend als ze niet worden gelezen. Zolang je ze maar had kúnnen lezen. Dat je dan twee jaar van je leven kwijt bent met al die voorwaarden is juridisch niet relevant.

Omdat het dan wel érg hard door kan schieten – ze zouden eens je eerstgeboren kind kunnen opeisen – kent de wet daar een paar correctiemechanismes voor. Algemene voorwaarden mogen niet onredelijk bezwarend zijn. Zo mag een dienst niet zomaar zijn aansprakelijkheid op nul zetten, dat is onredelijk bezwarend zonder héle goeie reden. De voorwaarden ineens 100% omgooien is ook onredelijk. En voor zaken als kinderen opeisen is er een nóg hardere juridische stok om mee te slaan: overeenkomsten in strijd met de openbare orde of goede zeden zijn nietig. Bestaan niet. Je kúnt niet contracteren dat je kind wordt afgestaan.

Vervelend blijft uiteindelijk wel dat je daarvoor naar de rechter moet. En als je dat niet weet of niet ziet zitten, dan kun je een probleem hebben als de site toch die voorwaarden gaat handhaven. Denk aan het opeisen van maandbedragen of het eisen van een schadevergoeding voor het een of ander. Dat is natuurlijk niet specifiek voor sitevoorwaarden, maar het is wel een probleem.

Wat mij betreft schaffen we het hele zootje dan ook zo snel mogelijk af, in ieder geval voor consumenten. Dat hebben we in feite al gedaan bij de ecommerce: het is wettelijk vrijwel 100% geregeld wat je mag als webwinkel. Je kunt alleen nog in het voordeel van de consument dingen anders doen, zoals een dertigdagenretourtermijn in plaats van de wettelijke veertien. Waarom doen we dat nog steeds niet voor online diensten?

Arnoud

Is de Amazon cloud nu wel veilig voor Europese persoonsgegevens?

| AE 7575 | Informatiemaatschappij | 13 reacties

simpsons-cloud-diefstal-data-fotoDe Europese privacytoezichthouders hebben Amazon’s clouddienst privacytechnisch goedgekeurd, las ik op diverse media. Daarmee zou Amazon Web Services ineens da juridische bomb (oké, The Register) zijn.

Het ligt iets subtieler: de contracten waaronder Amazon werkt, zijn voorzien van juridische clausules over export en gebruik van persoonsgegevens door Amazon. En die clausules zijn goedgekeurd, zodat Amazon voldoet aan de Europese regels op dat punt.

Wie persoonsgegevens wil laten verwerken door een ander, moet een bewerkersovereenkomst sluiten met die ander. Daarin wordt vastgelegd wat de bewerker (de opdrachtnemer, Amazon dus) mag doen met persoonsgegevens, wat hem verboden is en op welke manier hij de persoonsgegevens moet beveiligen.

Export van persoonsgegevens naar buiten de EU is daarbij een speciaal geval. Dit mag eigenlijk niet, tenzij het ontvangende land een net zo strenge wet heeft over persoonsgegevens als de EU. En geen enkel land buiten de EU heeft dat. Gelukkig zijn daar wat uitzonderingen op. Eén uitzondering ontstaat als je met je bewerker afspraken maakt conform de modelcontracten die de EU ooit heeft opgesteld. En de toezichthouders hebben nu dus bepaald dat Amazon’s contracten conform die modellen zijn.

Het wil echter niet zeggen dat het gebruik van de Amazon cloud zonder meer goed voor de privacy is. Er blijft nog altijd die ene angel bestaan waar Microsoft zich aan gestoken heeft: de Amerikaanse rechter vindt dat zij de macht heeft het Amerikaanse Microsoft te bevelen data af te geven die bij haar Europese dochters opgeslagen staat. Microsoft vecht dit aan, maar er zijn goede redenen waarom die rechter gelijk kan hebben.

Arnoud

Ik wil een kopie van mijn clouddata van de curator!

| AE 5207 | Informatiemaatschappij | 42 reacties

Een lezer vroeg me: Wij nemen een clouddienst af waar onze klantdata (contactgegevens en dergelijke) mee beheerd wordt. Maar nu is de clouddienstverlener failliet en de dienst dus uit de lucht. De hostingpartij heeft nog wel een kopie van de data, maar hij wil deze niet afstaan tenzij we fors gaan betalen. De curator wil… Lees verder

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

| AE 6739 | Informatiemaatschappij | 18 reacties

Cloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via). De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage… Lees verder

Vijf cloudzaken die belangrijker zijn dan de Patriot Act

| AE 5899 | Ondernemingsvrijheid | 24 reacties

We gaan naar de cloud maar oh jee dat mag niet want de Patriot Act. Het meest gehoorde bezwaar tegen dienstverlening uitbesteden aan een cloudprovider. Met de Patriot Act in de hand kan de FBI ongegeneerd snuffelen in clouddata, ook als het gaat om Europese persoonsgegevens. En daarmee handel je in strijd met onze Wbp…. Lees verder

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Security | 23 reacties

Een lezer vroeg me: Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn… Lees verder

Gebruikers Google Analytics schenden Nederlandse privacywet

| AE 5901 | Informatiemaatschappij | 23 reacties

Gebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen… Lees verder

Argh, wéér een popup – “D66 wil bijsluiter voor datagraaien in de cloud”

| AE 5176 | Privacy, Security | 15 reacties

Hier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, meldde Webwereld gisteren. NEE. Gewoon NIET. Het wérkt niet, mensen om toestemming vragen nadat je ze een door… Lees verder