Ketenafhankelijkheid bij de bescherming van persoonsgegevens

Steeds meer persoonsgegevens worden gedigitaliseerd en online beheerd. Dit gaat soms mis. Zo stond Facebook vorige week negatief in de belangstelling omdat de data van ruim vijftig miljoen Facebookgebruikers is gebruikt om profielen te maken van stemmers met als doel de Amerikaanse verkiezingen van 2016 te beïnvloeden in het voordeel van Trump. Facebookgebruikers gaven zelf toestemming voor het verzamelen van hun data en gaven daarmee ook toestemming om de data van hun vrienden te verzamelen. Facebook handelt daarmee in strijd met de privacywetgeving.

Dit soort incidenten zorgen ervoor dat de bezorgdheid omtrent privacy toeneemt. Om de bescherming van privacygevoelige gegevens te waarborgen en de wetgeving binnen Europa gelijk te trekken, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. Deze verordening stelt juridisch vast waar organisaties toe verplicht zijn wanneer ze werken met persoonsgegevens.

De AVG maakt bij de verwerking van persoonsgegevens onderscheid tussen de verwerkingsverantwoordelijke en verwerker. De verantwoordelijke bepaalt hoe de persoonsgegevens worden gebruikt en waarvoor. De verwerker verwerkt enkel ten behoeve van de verantwoordelijke persoonsgegevens en schakelt daarvoor mogelijk op zijn beurt een sub-verwerker in.

Er is dus sprake van een keten. Indien u als organisatie werkt met persoonsgegevens, is het belangrijk dat u in kaart brengt welke partijen deel uitmaken van de keten, wat uw functie is binnen de keten en wat de rol van de andere betrokken partijen is.

Indien u als verantwoordelijke kwalificeert, bent u eindverantwoordelijk voor de keten en moet u op grond van de AVG mogelijkheden hebben tot het houden van toezicht en het controleren van de naleving van de AVG. U dient dus alle verwerkers in de keten te identificeren en daarmee een verwerkersovereenkomst te sluiten, ook als er incidenteel persoonsgegevens worden gedeeld. In de verwerkersovereenkomst dient o.a. te worden vastgelegd waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden, waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker sub-verwerkers mag inschakelen voor de verwerking. Indien de verwerker een sub-verwerker inschakelt, doet hij er verstandig aan om een sub-verwerkersovereenkomst te sluiten waarin hij minimaal dezelfde inhoudelijke verplichtingen aan de sub-verwerkers oplegt die de verantwoordelijke aan hem heeft opgelegd. Hij is immers altijd aansprakelijk voor het nakomen van de AVG door de sub-verwerker.

Partijen in de keten hebben er dus belang bij om goede afspraken met elkaar te maken over de verdeling van verantwoordelijkheden. Daarnaast is het voor partijen in de keten belangrijk om te weten wat hun en de andere partijen kwetsbaar maakt. Deelname aan de keten zorgt er immers voor dat partijen op bepaalde aspecten afhankelijk worden van elkaar en dat kan risicovol zijn. Indien de privacy risico’s binnen de keten tijdig in kaart worden gebracht, kunnen er passende maatregelen worden genomen om die risico’s te voorkomen of te beperken.

Neem nu bijvoorbeeld cybersecurity. Om de bescherming van persoonsgegevens te kunnen waarborgen, is goede cybersecurity van groot belang. Niet alleen in elke individuele organisatie maar in de gehele keten. Aanvallers richten zich vaak op het bedrijf met de zwakste cybersecurity. Cybersecurity is daarmee zo effectief als de zwakste schakel. Indien een sub-verwerker zijn cybersecurity niet goed op orde heeft en er een datalek plaatsvindt, zullen de Autoriteit Persoonsgegevens en de benadeelde klanten aankloppen bij de verantwoordelijke. De verantwoordelijke zal op haar beurt aankloppen bij de verwerker, aangezien die verantwoordelijk is voor de sub-verwerker.

Het is dan ook van belang dat alle betrokken partijen in de keten met elkaar samenwerken op het gebied van cybersecurity. Onderlinge informatie-uitwisseling vergroot de kennis binnen organisaties waardoor zij beveiligingsincidenten makkelijker kunnen herkennen. Daarnaast kunnen organisaties door een verhoogde integratie van de beveiliging in de keten de impact van een incident voor de eigen organisatie en voor de betrokken partijen beter inschatten en incidenten voorkomen. Ten slotte stimuleert samenwerking binnen de keten gezamenlijke investeringen in cybersecurity.

Twijfelt u of u verantwoordelijke of verwerker bent onder de AVG? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl