Juridische vraag: Mag een clouddienstverlener onder de AVG informatie over daadwerkelijk gebruik aan de afnemer van de dienst verstrekken?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?
Antwoord: Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account - en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.
Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.
Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.
De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Er zou sowieso een lijst moeten zijn van personen wie namens de klant info mag opvragen en welke categorie info en onder welke voorwaarden.
Voorbeeld:
Een aantal jaar geleden zat ik bij een helpdesk (extern/uitbesteed) en wij hadden een lijst welke personen moesten worden geinformeerd als een user een pw reset aanvroeg (wij gaven nieuwe pw's nooit door aan de user zelf).
Peter
Dat moet je juist wel uitsluitend aan degene van wie het account is doorgeven en aan niemand anders. Natuurlijk alleen als je kan controleren dat het werkelijk de accounteigenaar is. Je zou bijvoorbeeld het mobiele telefoonnummer (of bij een vast nummer van een particylier - bij bedrijven het doorkiesnummer, ( dan met extra controle dat het geen collega of een bezoeker van de afdeling/kamer) opgeslagen kunnen hebben. Zo gaat het met DigID ook. Dan sturen ze wijzigingen met te tekenen post/koerier. Zelfs een leidinggevende mag een wachtwoord niet weten. Stel je voor dat zij/hij alle wachtwoorden van de hele afdeling zou beheren...
Analytische gegevens horen zo onpersoonlijk mogelijk te zijn; in elk geval niet rechtstreeks herleidbaar tot persoonsgegevens, zelfs niet naar privacy-/concurrentiegevoelige gegevens van bedrijven.
Met een goed ingericht en beveiligd Security Operations Center kun je bovenstaande uitstekend dichttimmeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior adviseur informatiebeveiliging / incidentcoördinator
Ministerie van Buitenlandse Zaken
Als incidentcoördinator ben je lid van het securityteam van het ministerie van Buitenlandse Zaken. Je bent medeverantwoordelijk voor de bescherming van de informatievoorziening van BZ. Als junior adviseur informatiebeveiliging voer je impact-analyses uit en stel je adviezen op over operationele informatiebeveiligings-vraagstukken.