Juridische vraag: Mag een softwareleverancier in een EULA verwijzen naar het privacybeleid van een derde partij?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA wordt er dan verwezen naar het privacybeleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de app niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-userovereenkomst met de leverancier van de app?
Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt. Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie - het gebruiksrecht is deel van de eigen EULA - of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.
Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig - dat is waar de cookiewet voor bedoeld is.
Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen - het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.
Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.
Senior adviseur compliance, risicomanagement en informatiebeveiliging
Ministerie van Buitenlandse Zaken
Begin 2018 is binnen het ministerie van Buitenlandse Zaken het Cyber Security Center ingericht. Dit team is de spil in de dynamische wereld van cybersecurity en de borging van privacy in het kader van de Algemene verordening gegevens-bescherming. Als senior adviseur versterk jij dit gloednieuwe team op de gebieden risicomanagement, informatiebeveiliging en compliance.
IT-securityspecialist
Bij de AIVD
Een veilig Nederland vereist veilige ICT–voorzieningen binnen de AIVD, daar ben jij als security-specialist verantwoordelijk voor! Als IT-securityspecialist vorm je de brug tussen het beveiligingsbeleid en de uitvoering. Omdat we een bijzondere organisatie zijn, kunnen we op ‘papier’ niet alles vertellen, maar tijdens een sollicitatiegesprek des te meer!