Tag: verwerkingsverantwoordelijke

About verwerkingsverantwoordelijke

Subscribe Feeds

Nederlandse overheid overweegt te stoppen met pagina’s op Facebook

Geplaatst op in Privacy, Uitingsvrijheid, 12 reacties

De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de politieke agenda staat, voor mij is vooral de vraag waarom het zo lang moest duren.

De Kamerbrief legt uit dat recent in Duitsland overheden wederom zijn gevraagd hun Facebookpagina’s te sluiten, omdat zij juridisch mede verantwoordelijk zijn voor wat er op die pagina’s gebeurt met data van bezoekers. Naar aanleiding daarvan heeft zij onderzoek laten uitvoeren, een data protection impact assessment: 

In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking. Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op een misleidende (“Facebook makes deceptive use of tracking cookies”) manier gebruikt. Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.
De vaste lezer van deze blog zal weinig niets halen uit bovenstaande alinea, behalve misschien dat dit óók bij specifieke Facebookpagina’s van overheidsinstanties gebeurt. En tot voor vrij kort geleden kon je als instantie nog doen alsof dit niet jouw probleem was, maar in 2018 bepaalde het Hof van Justitie dat je als beheerder van een Facebookpagina mede-verwerkingsverantwoordelijke bent voor alles dat onder water gebeurt bij bezoek aan die pagina. Dat volgt uit de systematiek van de AVG.

Uit mijn blog van toen:

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

De overheid is nu in gesprek met Facebook met als doel álle pijnpunten weg te doen nemen. Leuk, maar persoonlijk zie ik dat niet snel gebeuren. De daarop volgende stap zou dan moeten zijn dat de overheid weggaat van Facebook. Daarop kwam op vele plekken de reactie, waarom zit de overheid op Facebook als zij zelf al websites te over heeft?

De reden daarvoor is vrij simpel: de overheid wil zo veel mogelijk mensen bereiken, en er is nu eenmaal een significante groep mensen die niet op Rijksoverheid.nl kijkt voor nieuws vanuit de overheid, maar alleen dergelijke informatie via de social media tot zich neemt. Die groep bereik je dus alleen met een Facebookpagina zeg maar, en daarom is die pagina er. Vanuit dat perspectief is het dus niet zo simpel als je zou denken om die informatievoorziening ook weer te stoppen.

Arnoud

Als ik een app met datagevangenis gebruik, is de leverancier dan verantwoordelijke onder de AVG?

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties
LoboStudioHamburg / Pixabay

Een lezer vroeg me:

Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit ‘opgesloten’ in de app, waar de exploitant alle controle over kan uitoefenen. Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?

Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen. (Een verwerker is een partij die voor een verantwoordelijke een verwerking uitvoert, maar dus niet zelf doel of middelen bepaalt.)

Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant (“there is no cloud”) de verantwoordelijke daarvoor is. Soms de verwerker – als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken.

Omgekeerd, enkel het leveren van middelen maakt je geen verwerkingsverantwoordelijke. Als je dus een lokale applicatie gebruikt en daarin persoonsgegevens verwerkt, heeft de leverancier geen rol onder de AVG. Jij (of je organisatie) bent dan zelf de verwerkingsverantwoordelijke.

De situatie met een app is iets ingewikkelder. De vraagsteller noemt het “opsluiten”, dus de data is niet even uit de app te halen zoals bij desktopapplicaties waar je gewoon databestanden naast het programma hebt staan. En natuurlijk kan een app-leverancier veel makkelijker updates forceren dan een traditionele desktopsoftwareleverancier.

Toch maakt dat hem denk ik niet direct een verwerkingsverantwoordelijke: de appleverancier bepaalt nog steeds niet wat je doet met de app, dat doe jij als gebruiker van de app. Natuurlijk wordt dat anders als er functies ingebouwd zijn die onder controle van de leverancier dingen doen (zoals adresboeken uploaden), maar dan hebben we vaak meteen ook te maken met cloudopslag.

Als verwerkingsverantwoordelijke heb je de plicht te zorgen voor de rechten van de betrokken personen. Dat kan dus betekenen dat je ze een kopie van hun persoonsgegevens moet geven, en correcties moet doorvoeren. Als zo’n app dat niet toestaat, ben jij dus niet AVG compliant. De AVG regelt alleen niet dat jij van je leverancier dan een update kunt eisen waarmee dat wel kan – die zegt, gebruik die app dan maar niet.

Ben ik verwerker bij de accounts van mijn klanten?

Geplaatst op in Privacy, 7 reacties

Een lezer vroeg me:

Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts?
Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen te kort door de bocht. Mogelijk komt dit door een spraakverwarring: je verwerkt dan wel persoonsgegevens, maar je bent pas verwerker als je dat doet in opdracht van een ander (de verwerkingsverantwoordelijke).

Wanneer ik een dienst afneem, en daarbij zijn mijn persoonsgegevens nodig (bijvoorbeeld voor een account + facturatie, of voor het tonen van mij als gebruiker aan andere gebruikers) dan is de dienstverlener gewoon de verwerkingsverantwoordelijke. Hij bepaalt immers wat er gebeurt met die gegevens van mij: waar worden ze getoond, wie heeft er toegang toe en waar mogen ze worden ingezet.

Ik zou die dienst namens mijn bedrijf kunnen afnemen. Dan kunnen ook collega’s een account krijgen binnen het bedrijfsaccount, en normaliter betaal ik dan maar één keer. Dit verandert alleen nog niets aan de situatie voor verwerkerschap: de dienstverlener bepaalt nog steeds wat er gebeurt met al die persoonsgegevens, van zowel mij als van mijn collega’s. Hij blijft dan dus verwerkingsverantwoordelijke.

Een dienstverlener wordt verwerker wanneer het verwerken van de persoonsgegevens onderdeel is van de dienst, want het juridisch criterium is dat ik als klant doel en middelen vaststel. Het triviale voorbeeld is een personeelsadministratie: ik upload dan een set personeelsgegevens met bijvoorbeeld loongegevens, en de SaaS-dienst genereert loonstroken. Voor die set is men dan verwerker, want ik bepaal wat ik upload (welke personeelsleden, welke gegevens) en waarom (ik wil loonstroken).

De accounts om toegang te krijgen tot de dienst zijn volgens mij geen onderdeel van de dienst, zodat daarvoor geen verwerkersovereenkomst met de klanten nodig is. Zolang de leverancier/dienstverlener zelf bepaalt wat hij doet met die accounts, is hij daar zelf verwerkingsverantwoordelijke voor.

Arnoud

Als je een like knop op je site zet, ben je aansprakelijk voor wat Facebook daarmee doet

Geplaatst op in Ondernemingsvrijheid, Privacy, 28 reacties

De beheerder van een website die een plug-in van een derde partij op zijn site opneemt waarmee persoonsgegevens van de gebruiker worden verzameld en doorgezonden, is medeverantwoordelijk voor de gegevensverwerking. Dat meldde Tweakers gisteren. Het Hof van Justitie bepaalde dat namelijk (zaak C-40/17) in een Duitse kwestie over een modewebwinkel die Like-knoppen bij haar producten had staan. De Verbraucherzentrale NRW eV had daartegen bezwaar gemaakt en onder meer aangevoerd dat dit de webwinkel mede-verwerkingsverantwoordelijke maakt, in navolging van dit arrest uit 2018 over fanpagina’s. Het Hof bevestigt dat dit zo is, zodat je nu dus webwinkels kunt aanspreken voor wat Facebook doet met gegevens die ze met die Like-knop binnenhalen. Ben ik even blij dat ik al jaren toestemming voor het tonen van die knoppen vraag.

De standaardversie van zo’n Like knop is vrij agressief namelijk: het is niet alleen een knop die je naar een Facebook-formulier leidt, maar er zit een zooi javascript omheen dat automatisch al gegevens verzamelt en doorstuurt naar Facebook. Ongeacht of je erop klikt, ongeacht of je ergens toestemming voor af – zelfs ongeacht of je ingelogd bent bij Facebook. Waarom alle shops (en online diensten, massaal) dat zo accepteerden was me nooit helemaal duidelijk. Het lijkt mij niet zo fijn dat anderen meekijken over jouw webschouder naar jouw klanten, maar dat zal aan mij liggen.

In 2018 was er een uitspraak van het Hof over een fanpagina op Facebook, waar de beheerder als mede-verwerkingsverantwoordelijke werd aangemerkt. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen. En het is “mede” verantwoordelijkheid omdat ook Facebook zelfstandig beslist wat er gebeurt op zo’n pagina.

Het Hof trekt die lijn nu door: een webwinkel (of andere online dienst) die zo’n Like-knop invoegt op zijn eigen site (met plugin of handmatig gebouwd, maakt niet uit) die is mede-verantwoordelijk. Die beslist dat Facebook bij die bezoekersgegevens mag, en Facebook doet de rest. Beiden zijn daarvoor in gelijke mate verantwoordelijk – en dus ook aansprakelijk. Voor welk deel precies is nog een interessante vraag; de AVG zegt letterlijk dat je iedere verantwoordelijke voor het gehele schadebedrag kunt aanspreken (artikel 82 lid 4 AVG). Maar deze uitspraak is onder de Wbp (Richtlijn) gedaan en die is daar minder expliciet in.

Desondanks lijkt het me nu de hoogste tijd om die Like-knopjes (en je andere social sharing plugins) eraf te halen, of op zijn minst achter een toestemmingsknop te zetten. En doe dat alsjeblieft niet met een popup. Een simpele hover met uitleg zoals op deze site werkt prima en is AVG compliant. Wie daarna klikt en de plugin activeert, heeft toestemming voor die verwerking gegeven.

Arnoud

Hoe verhoudt de AVG zich tot de (permissionless) blockchain?

Geplaatst op in Innovatie, Privacy, 2 reacties

Interessante kwestie opgeworpen op Twitter:

Verwerkingen zonder verantwoordelijke(n) zijn niet te vatten in door technologie alweer ingehaalde Avg. Permissionless blockchain verbieden? Avg n.v.t. verklaren? Beide zullen niet werken terwijl fundamentele rechten en vrijheden in het geding zijn. #spannend @toezicht_AP

De context was het rapport Het gebruik van blockchaintechnologie in het verkiezingsproces dat recent verscheen. Hierin werd -grof samengevat- negatief geadviseerd over de inzet van blockchain bij verkiezingen. Een zijdelings relevant aspect daarvan was deze kwestie: wie is de verwerkingsverantwoordelijke bij een blockchainsysteem, oftewel wie is onder de AVG aan te spreken op persoonsgegevens die verkeerd worden verwerkt in de blockchain?

De AVG gaat er vanuit dat bij verwerkingen van persoonsgegevens er uiteindelijk altijd iemand is die de eindbeslissing neemt over het waarom en hoe (doel en middelen). Deze partij is dan de verwerkingsverantwoordelijke en kan worden aangesproken op niet-naleving of gewoon uitoefening van rechten. Die constructie zou je achterhaald kunnen noemen als je kijkt naar (permissionless) blockchain: iedereen doet mee en iedereen stemt met één stem mee over de uitvoering, dus is er dan wel één partij die de eindverantwoordelijk draagt?

Toch denk ik dat de AVG niet zo achterhaald is als hier wordt gesteld. De AVG kent namelijk het concept van de gezamenlijke verwerkingsverantwoordelijken, twee of meer partijen die gezamenlijk de doeleinden en middelen van de verwerking bepalen (artikel 26). Hoe hun onderlinge relatie er dan precies uitziet, is niet van doorslaggevend belang. Het gaat erom dat er tezamen wordt besloten, zo gaan we het doen.

Die omschrijving past denk ik prima bij wat er in een blockchain gebeurt. Iedereen denkt mee en stemt mee. En je kunt kiezen een bepaalde fork niet te volgen, in het ergste geval. Daarmee ben je dus (een klein stukje) medeverantwoordelijk voor die blockchain.

Dat wordt dan in zoverre interessant dat de deelnemers dan een onderlinge overeenkomst moeten sluiten over hoe hun verdeling van taken en verantwoordelijkheden eruit zien. En minstens zo interessant, dat iedere betrokkene elke deelnemer voor nakoming van de AVG kan aanspreken (lid 3). Daarmee zou je dus een behoorlijk risico lopen als je deel gaat nemen aan zo’n open blockchain waar persoonsgegevens in geplaatst worden. Het voordeel daarvan zou voor mij zijn dat deelnemers dan niet al te snel zullen accepteren dat dit gebeurt, zo mag je dan hopen. AVG compliance in de blockchain?

Arnoud

Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

Geplaatst op in Privacy, Uitingsvrijheid, 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.

De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.

Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

Arnoud