Ben ik verwerker bij de accounts van mijn klanten?

| AE 12634 | Privacy | 7 reacties

Een lezer vroeg me:

Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts?
Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen te kort door de bocht. Mogelijk komt dit door een spraakverwarring: je verwerkt dan wel persoonsgegevens, maar je bent pas verwerker als je dat doet in opdracht van een ander (de verwerkingsverantwoordelijke).

Wanneer ik een dienst afneem, en daarbij zijn mijn persoonsgegevens nodig (bijvoorbeeld voor een account + facturatie, of voor het tonen van mij als gebruiker aan andere gebruikers) dan is de dienstverlener gewoon de verwerkingsverantwoordelijke. Hij bepaalt immers wat er gebeurt met die gegevens van mij: waar worden ze getoond, wie heeft er toegang toe en waar mogen ze worden ingezet.

Ik zou die dienst namens mijn bedrijf kunnen afnemen. Dan kunnen ook collega’s een account krijgen binnen het bedrijfsaccount, en normaliter betaal ik dan maar één keer. Dit verandert alleen nog niets aan de situatie voor verwerkerschap: de dienstverlener bepaalt nog steeds wat er gebeurt met al die persoonsgegevens, van zowel mij als van mijn collega’s. Hij blijft dan dus verwerkingsverantwoordelijke.

Een dienstverlener wordt verwerker wanneer het verwerken van de persoonsgegevens onderdeel is van de dienst, want het juridisch criterium is dat ik als klant doel en middelen vaststel. Het triviale voorbeeld is een personeelsadministratie: ik upload dan een set personeelsgegevens met bijvoorbeeld loongegevens, en de SaaS-dienst genereert loonstroken. Voor die set is men dan verwerker, want ik bepaal wat ik upload (welke personeelsleden, welke gegevens) en waarom (ik wil loonstroken).

De accounts om toegang te krijgen tot de dienst zijn volgens mij geen onderdeel van de dienst, zodat daarvoor geen verwerkersovereenkomst met de klanten nodig is. Zolang de leverancier/dienstverlener zelf bepaalt wat hij doet met die accounts, is hij daar zelf verwerkingsverantwoordelijke voor.

Arnoud

Als je een like knop op je site zet, ben je aansprakelijk voor wat Facebook daarmee doet

| AE 11422 | Ondernemingsvrijheid, Privacy | 26 reacties

De beheerder van een website die een plug-in van een derde partij op zijn site opneemt waarmee persoonsgegevens van de gebruiker worden verzameld en doorgezonden, is medeverantwoordelijk voor de gegevensverwerking. Dat meldde Tweakers gisteren. Het Hof van Justitie bepaalde dat namelijk (zaak C-40/17) in een Duitse kwestie over een modewebwinkel die Like-knoppen bij haar producten had staan. De Verbraucherzentrale NRW eV had daartegen bezwaar gemaakt en onder meer aangevoerd dat dit de webwinkel mede-verwerkingsverantwoordelijke maakt, in navolging van dit arrest uit 2018 over fanpagina’s. Het Hof bevestigt dat dit zo is, zodat je nu dus webwinkels kunt aanspreken voor wat Facebook doet met gegevens die ze met die Like-knop binnenhalen. Ben ik even blij dat ik al jaren toestemming voor het tonen van die knoppen vraag.

De standaardversie van zo’n Like knop is vrij agressief namelijk: het is niet alleen een knop die je naar een Facebook-formulier leidt, maar er zit een zooi javascript omheen dat automatisch al gegevens verzamelt en doorstuurt naar Facebook. Ongeacht of je erop klikt, ongeacht of je ergens toestemming voor af – zelfs ongeacht of je ingelogd bent bij Facebook. Waarom alle shops (en online diensten, massaal) dat zo accepteerden was me nooit helemaal duidelijk. Het lijkt mij niet zo fijn dat anderen meekijken over jouw webschouder naar jouw klanten, maar dat zal aan mij liggen.

In 2018 was er een uitspraak van het Hof over een fanpagina op Facebook, waar de beheerder als mede-verwerkingsverantwoordelijke werd aangemerkt. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen. En het is “mede” verantwoordelijkheid omdat ook Facebook zelfstandig beslist wat er gebeurt op zo’n pagina.

Het Hof trekt die lijn nu door: een webwinkel (of andere online dienst) die zo’n Like-knop invoegt op zijn eigen site (met plugin of handmatig gebouwd, maakt niet uit) die is mede-verantwoordelijk. Die beslist dat Facebook bij die bezoekersgegevens mag, en Facebook doet de rest. Beiden zijn daarvoor in gelijke mate verantwoordelijk – en dus ook aansprakelijk. Voor welk deel precies is nog een interessante vraag; de AVG zegt letterlijk dat je iedere verantwoordelijke voor het gehele schadebedrag kunt aanspreken (artikel 82 lid 4 AVG). Maar deze uitspraak is onder de Wbp (Richtlijn) gedaan en die is daar minder expliciet in.

Desondanks lijkt het me nu de hoogste tijd om die Like-knopjes (en je andere social sharing plugins) eraf te halen, of op zijn minst achter een toestemmingsknop te zetten. En doe dat alsjeblieft niet met een popup. Een simpele hover met uitleg zoals op deze site werkt prima en is AVG compliant. Wie daarna klikt en de plugin activeert, heeft toestemming voor die verwerking gegeven.

Arnoud

Hoe verhoudt de AVG zich tot de (permissionless) blockchain?

| AE 10678 | Innovatie, Privacy | 2 reacties

Interessante kwestie opgeworpen op Twitter:

Verwerkingen zonder verantwoordelijke(n) zijn niet te vatten in door technologie alweer ingehaalde Avg. Permissionless blockchain verbieden? Avg n.v.t. verklaren? Beide zullen niet werken terwijl fundamentele rechten en vrijheden in het geding zijn. #spannend @toezicht_AP

De context was het rapport Het gebruik van blockchaintechnologie in het verkiezingsproces dat recent verscheen. Hierin werd -grof samengevat- negatief geadviseerd over de inzet van blockchain bij verkiezingen. Een zijdelings relevant aspect daarvan was deze kwestie: wie is de verwerkingsverantwoordelijke bij een blockchainsysteem, oftewel wie is onder de AVG aan te spreken op persoonsgegevens die verkeerd worden verwerkt in de blockchain?

De AVG gaat er vanuit dat bij verwerkingen van persoonsgegevens er uiteindelijk altijd iemand is die de eindbeslissing neemt over het waarom en hoe (doel en middelen). Deze partij is dan de verwerkingsverantwoordelijke en kan worden aangesproken op niet-naleving of gewoon uitoefening van rechten. Die constructie zou je achterhaald kunnen noemen als je kijkt naar (permissionless) blockchain: iedereen doet mee en iedereen stemt met één stem mee over de uitvoering, dus is er dan wel één partij die de eindverantwoordelijk draagt?

Toch denk ik dat de AVG niet zo achterhaald is als hier wordt gesteld. De AVG kent namelijk het concept van de gezamenlijke verwerkingsverantwoordelijken, twee of meer partijen die gezamenlijk de doeleinden en middelen van de verwerking bepalen (artikel 26). Hoe hun onderlinge relatie er dan precies uitziet, is niet van doorslaggevend belang. Het gaat erom dat er tezamen wordt besloten, zo gaan we het doen.

Die omschrijving past denk ik prima bij wat er in een blockchain gebeurt. Iedereen denkt mee en stemt mee. En je kunt kiezen een bepaalde fork niet te volgen, in het ergste geval. Daarmee ben je dus (een klein stukje) medeverantwoordelijk voor die blockchain.

Dat wordt dan in zoverre interessant dat de deelnemers dan een onderlinge overeenkomst moeten sluiten over hoe hun verdeling van taken en verantwoordelijkheden eruit zien. En minstens zo interessant, dat iedere betrokkene elke deelnemer voor nakoming van de AVG kan aanspreken (lid 3). Daarmee zou je dus een behoorlijk risico lopen als je deel gaat nemen aan zo’n open blockchain waar persoonsgegevens in geplaatst worden. Het voordeel daarvan zou voor mij zijn dat deelnemers dan niet al te snel zullen accepteren dat dit gebeurt, zo mag je dan hopen. AVG compliance in de blockchain?

Arnoud

Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk… Lees verder