image

Juridische vraag: Mag een clouddienstverlener onder de AVG informatie over daadwerkelijk gebruik aan de afnemer van de dienst verstrekken?

woensdag 1 november 2017, 14:42 door Arnoud Engelfriet, 5 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?

Antwoord: Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account - en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.

Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.

Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (5)
01-11-2017, 17:13 door mcb
Ik denk dat het ook af hangt wie die gegevens op vraagt.
Er zou sowieso een lijst moeten zijn van personen wie namens de klant info mag opvragen en welke categorie info en onder welke voorwaarden.

Voorbeeld:
Een aantal jaar geleden zat ik bij een helpdesk (extern/uitbesteed) en wij hadden een lijst welke personen moesten worden geinformeerd als een user een pw reset aanvroeg (wij gaven nieuwe pw's nooit door aan de user zelf).
02-11-2017, 11:11 door Anoniem
Bij ons staat het als wens in de security requirements dat een functionele beheerder, bij ons in dienst, toegang heeft tot dergelijke informatie. Dan hoef je er niet om te vragen, met als voordeel dat de verwerker ook niet hoeft te gaan lopen zoeken in dergelijke logging.

Peter
02-11-2017, 20:46 door Anoniem
Hoe zit dat dan met SIEM en SOC diensten....
06-11-2017, 17:19 door Patio
als een user een pw reset aanvroeg (wij gaven nieuwe pw's nooit door aan de user zelf).

Dat moet je juist wel uitsluitend aan degene van wie het account is doorgeven en aan niemand anders. Natuurlijk alleen als je kan controleren dat het werkelijk de accounteigenaar is. Je zou bijvoorbeeld het mobiele telefoonnummer (of bij een vast nummer van een particylier - bij bedrijven het doorkiesnummer, ( dan met extra controle dat het geen collega of een bezoeker van de afdeling/kamer) opgeslagen kunnen hebben. Zo gaat het met DigID ook. Dan sturen ze wijzigingen met te tekenen post/koerier. Zelfs een leidinggevende mag een wachtwoord niet weten. Stel je voor dat zij/hij alle wachtwoorden van de hele afdeling zou beheren...
06-11-2017, 17:25 door Patio - Bijgewerkt: 06-11-2017, 17:30
Door Anoniem: Hoe zit dat dan met SIEM en SOC diensten....

Analytische gegevens horen zo onpersoonlijk mogelijk te zijn; in elk geval niet rechtstreeks herleidbaar tot persoonsgegevens, zelfs niet naar privacy-/concurrentiegevoelige gegevens van bedrijven.

Met een goed ingericht en beveiligd Security Operations Center kun je bovenstaande uitstekend dichttimmeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.