Ketenafhankelijkheid bij de bescherming van persoonsgegevens

Steeds meer persoonsgegevens worden gedigitaliseerd en online beheerd. Dit gaat soms mis. Zo stond Facebook vorige week negatief in de belangstelling omdat de data van ruim vijftig miljoen Facebookgebruikers is gebruikt om profielen te maken van stemmers met als doel de Amerikaanse verkiezingen van 2016 te beïnvloeden in het voordeel van Trump. Facebookgebruikers gaven zelf toestemming voor het verzamelen van hun data en gaven daarmee ook toestemming om de data van hun vrienden te verzamelen. Facebook handelt daarmee in strijd met de privacywetgeving.

Dit soort incidenten zorgen ervoor dat de bezorgdheid omtrent privacy toeneemt. Om de bescherming van privacygevoelige gegevens te waarborgen en de wetgeving binnen Europa gelijk te trekken, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. Deze verordening stelt juridisch vast waar organisaties toe verplicht zijn wanneer ze werken met persoonsgegevens.

De AVG maakt bij de verwerking van persoonsgegevens onderscheid tussen de verwerkingsverantwoordelijke en verwerker. De verantwoordelijke bepaalt hoe de persoonsgegevens worden gebruikt en waarvoor. De verwerker verwerkt enkel ten behoeve van de verantwoordelijke persoonsgegevens en schakelt daarvoor mogelijk op zijn beurt een sub-verwerker in.

Er is dus sprake van een keten. Indien u als organisatie werkt met persoonsgegevens, is het belangrijk dat u in kaart brengt welke partijen deel uitmaken van de keten, wat uw functie is binnen de keten en wat de rol van de andere betrokken partijen is.

Indien u als verantwoordelijke kwalificeert, bent u eindverantwoordelijk voor de keten en moet u op grond van de AVG mogelijkheden hebben tot het houden van toezicht en het controleren van de naleving van de AVG. U dient dus alle verwerkers in de keten te identificeren en daarmee een verwerkersovereenkomst te sluiten, ook als er incidenteel persoonsgegevens worden gedeeld. In de verwerkersovereenkomst dient o.a. te worden vastgelegd waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden, waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker sub-verwerkers mag inschakelen voor de verwerking. Indien de verwerker een sub-verwerker inschakelt, doet hij er verstandig aan om een sub-verwerkersovereenkomst te sluiten waarin hij minimaal dezelfde inhoudelijke verplichtingen aan de sub-verwerkers oplegt die de verantwoordelijke aan hem heeft opgelegd. Hij is immers altijd aansprakelijk voor het nakomen van de AVG door de sub-verwerker.

Partijen in de keten hebben er dus belang bij om goede afspraken met elkaar te maken over de verdeling van verantwoordelijkheden. Daarnaast is het voor partijen in de keten belangrijk om te weten wat hun en de andere partijen kwetsbaar maakt. Deelname aan de keten zorgt er immers voor dat partijen op bepaalde aspecten afhankelijk worden van elkaar en dat kan risicovol zijn. Indien de privacy risico’s binnen de keten tijdig in kaart worden gebracht, kunnen er passende maatregelen worden genomen om die risico’s te voorkomen of te beperken.

Neem nu bijvoorbeeld cybersecurity. Om de bescherming van persoonsgegevens te kunnen waarborgen, is goede cybersecurity van groot belang. Niet alleen in elke individuele organisatie maar in de gehele keten. Aanvallers richten zich vaak op het bedrijf met de zwakste cybersecurity. Cybersecurity is daarmee zo effectief als de zwakste schakel. Indien een sub-verwerker zijn cybersecurity niet goed op orde heeft en er een datalek plaatsvindt, zullen de Autoriteit Persoonsgegevens en de benadeelde klanten aankloppen bij de verantwoordelijke. De verantwoordelijke zal op haar beurt aankloppen bij de verwerker, aangezien die verantwoordelijk is voor de sub-verwerker.

Het is dan ook van belang dat alle betrokken partijen in de keten met elkaar samenwerken op het gebied van cybersecurity. Onderlinge informatie-uitwisseling vergroot de kennis binnen organisaties waardoor zij beveiligingsincidenten makkelijker kunnen herkennen. Daarnaast kunnen organisaties door een verhoogde integratie van de beveiliging in de keten de impact van een incident voor de eigen organisatie en voor de betrokken partijen beter inschatten en incidenten voorkomen. Ten slotte stimuleert samenwerking binnen de keten gezamenlijke investeringen in cybersecurity.

Twijfelt u of u verantwoordelijke of verwerker bent onder de AVG? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

 

AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com