Heb je als verwerker zelf ook een grondslag nodig?

| AE 11358 | Privacy | 2 reacties

Een lezer vreoeg me:

Een verwerker hoeft geen eigen grondslag te hebben, die werkt onder de grondslag van de verwerkingsverantwoordelijke. Het is ook niet logisch want de grondslagen zouden dan altijd samenvallen; artikel 6 AVG zegt immers “De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan”. Als de vv zich kan beroepen op bijvoorbeeld toestemming, dan is het niet nodig dat de vw nog een andere grondslag aandraagt.

De grondslag uitvoering overeenkomst vereist dat de betrokkene daarbij partij is (zie tekst artikel 6 lid 1 sub b AVG), of in ieder geval vermoedelijk gaat worden (de precontractuele fase). Bij de verwerkersovereenkomst is de betrokkene geen partij dus die kan geen deel uitmaken van de overeenkomst.

Debiteurenbeheer in opdracht van een dienstverlener valt m.i. onder uitvoering overeenkomst, incasso hoort vrij evident bij het nakomen van een contract lijkt me zo. Toestemming van de betrokkene is niet aan de orde. Uw klant heeft een dienstovereenkomst (of bij producten een verkoopovereenkomst). U als verwerker neemt de taak van de incasso op u, en u doet dat onder de grondslag van de uitvoering van die overeenkomst.

Wat moet je doen met een ICT-beheerder die per abuis persoonsgegevens krijgt?

| AE 11200 | Privacy | 4 reacties

Een lezer vroeg me:

In 2018 schreef je over verwerkerschap bij een derde partij zoals een ICT-beheerder. Je zei dat je geen verwerkersovereenkomst hoeft te sluiten met zo’n partij wanneer deze partij expliciet geen toegang wil hebben tot persoonsgegevens. Wat zou die partij dan wel mogen (of moeten) doen als hij toch persoonsgegevens krijgt? Iedere handeling daarmee is een verwerking, dus moet er dan toch alsnog gauw een verwerkersovereenkomst komen?

Het klopt dat je aan het verwerken bent als je persoonsgegevens langs ziet komen. Zelfs de enkele handeling van het wissen daarvan, is naar de letter van de AVG een verwerking. Maar persoonsgegevens verwerken wil niet zeggen dat je een verwerker bent.

Een verwerker ben je als je in opdracht persoonsgegevens verwerkt waar de opdrachtgever verwerkingsverantwoordelijke voor is. Die ander bepaalt het doel (dit moet je doen) en kiest de middelen (of tekent daarvoor af). Dat is de wettelijke definitie. Mijn salarisadministrateur is dus een verwerker, en mijn cloud-mailprovider is dat ook. Beiden doen wat ik zeggen dat ze moeten doen met de persoonsgegevens van mijn personeel en klanten.

Wie data tegenkomt buiten een opdracht, is dan ook per definitie geen verwerker. Volgens de AVG ben je dan zelf verwerkingsverantwoordelijke, oftewel je bepaalt zelf wat je er mee mag en moet. En dat is in dit geval heel simpel: je hebt geen grondslag om die gegevens te mogen hebben, dus moet je ze vernietigen. (De grondslag voor die vernietiging is dan ook de wettelijke plicht, artikel 6 sub c AVG.)

Ik twijfel nog of je als beheerder in zo’n situatie van een voor jou meldingsplichtig datalek moet spreken. Jij hebt immers geen geschonden beveiliging, zodat jij geen datalek hebt veroorzaakt. Maar je had wel data onder je op een plek waar die niet hoorde te zijn. Het meest logisch lijkt me echter dat je onmiddellijk de ‘echte’ verantwoordelijke in kennis stelt, waarna die wettelijk verplicht het lek zal moeten melden.

Arnoud

Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

| AE 10913 | Ondernemingsvrijheid, Privacy | 5 reacties

Een lezer vroeg me:

Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)

Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En “volgens ons is het legaal, doe het!!1!” is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.

Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.

Arnoud

Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 35 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het… Lees verder