Juridische vraag: Hoe stel je vast wie er uiteindelijk verantwoordelijk is voor gegevensverwerking?
woensdag 13 december 2017, 13:08 door Arnoud Engelfriet, 20 reacties
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Als ondernemer heb ik mijn administratie uitbesteed bij een accountantskantoor. Zij maken daarbij weer gebruik van een (Nederlandse) clouddienstverlener die weer opslagruimte in Duitsland gebruikt. Wie is/zijn in dit geval onder de AVG de verantwoordelijke(n) en verwerker(s) en met wie moet ik daarvoor verwerkersovereenkomsten treffen?
Antwoord: Onder de AVG is het erg belangrijk vast te stellen wie er verantwoordelijk is voor een gegevensverwerking zoals een administratie, omdat deze partij aansprakelijk is voor boetes bij niet-nakoming van deze nieuwe privacywet. Ook kunnen betrokken personen bij deze partij claims indienen als hun gegevens incorrect worden verwerkt.
Een verantwoordelijke kan verwerkingen uitbesteden bij derden. Deze heten dan 'verwerkers' (onder de huidige wet 'bewerkers') en de verantwoordelijke moet zogeheten verwerkersovereenkomsten sluiten waarin kwaliteit en zorgvuldige verwerking wordt geborgd, eventueel met de mogelijkheid boetes te verhalen.
De wettelijke definitie van een verantwoordelijke is simpel: de partij die het doel van de verwerking bepaalt en de middelen daarvan kiest. De verwerker is dan een partij die de verwerking doet zonder deze bepaling en keuze te maken. Voor een administratie van een onderneming is daarmee het antwoord in eerste instantie simpel, namelijk de onderneming zelf is verantwoordelijke en het administratiekantoor/accountant is de verwerker.
Het wordt al snel echter onduidelijk, met name als je naar die middelen kijkt. Want de onderneming heeft niets te zeggen over de ontwikkeling en inzet van het cloudpakket voor de administratie, of meer algemeen welke middelen (zoals hardware en software) de accountant dan wel het cloudbedrijf of zijn datacenter inzet. Natuurlijk kunnen de partijen op papier vastleggen van wel, maar de feitelijke situatie verandert daar gewoonlijk niet door. Juridisch gezien geeft de feitelijke situatie de doorslag.
Het criterium van de keuze gaat niet zo ver dat de onderneming precies moet bepalen welke features in de software moeten zitten, of zelfs maar inspraak heeft in de ontwikkeling van de software. Het gaat er meer om of de data die in die software komt, alleen ten behoeve van deze onderneming wordt ingezet. Als de strekking van het contract is dat dit accountantskantoor de administratie van deze onderneming beheert en geen eigen doeleinden daarbij bepaalt, en de software combineert ook niet feitelijk die informatie met informatie van anderen, dan blijft het uiteindelijk de keuze voor een middel van de onderneming.
Belangrijker is dus de vraag wie de doelen van de verwerking bepaalt. In principe beantwoordt dat namelijk in 80% van de gevallen wie de verantwoordelijke is. Op zich is dat bij een onderneming vrij simpel: "doe mijn administratie" is een duidelijke keuze voor een doel. Maar specifiek bij een accountantskantoor kán daar meer bij komen kijken, met name de onafhankelijke toets op de jaarrekening. De NBA heeft daar een hele analyse over opgesteld.
Bij de clouddienstverlener zijn daar in theorie ook vraagtekens bij te stellen. Een dienstverlener zou bijvoorbeeld kunnen zeggen dat zij gegevens aan Justitie kunnen geven bij strafbare zaken, maar formeel is dat dan een eigen keuze voor dat doel, en dat hoort een verwerker niet te doen.
In ieder geval is het dus altijd zaak om dit duidelijk op papier te zetten zodat je de gegevensstromen duidelijk krijgt en daarmee een onderbouwing kunt geven wie er verantwoordelijke is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (20)
Wij hebben er hier ook grote problemen mee. Zeker in het licht van het hieronder genoemde artikel vindt ik het lastig. Daarbij wordt namelijk een sanctiebesluit van de AP besproken, met daarin de volgende opmerkingen:
"Omdat Bluetrace zelf bepaalt welke soort gegevens het bedrijf verwerkt, hoe lang en met welke technische middelen, ligt de verantwoordelijkheid primair bij Bluetrace.135 Bluetrace heeft bovendien het feitelijk beheer over alle opgeslagen gegevens uit de trackingactiviteiten en de zeggenschap over eventueel te hanteren bewaartermijnen."
"Ook moet de verantwoordelijke ‘zeggenschap’ hebben over het ‘doel en de middelen van de verwerking’, zoals beslissen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enzovoort."
Ik begrijp dat de aard van de dienstverlening van het onderhavige bedrijf anders is dan die van een clouddienstverlener. Echter is het in de gevallen waarbij ondernemingen een accountantskantoor aanspreken, die op hun beurt weer gebruik maken van boekhoud-cloudsoftware, het de leverancier van het boekhoudsoftware die de technologische middelen, bewaartermijnen, het complete beheer en toegang tot alle gegevens heeft. Zij zullen de databases (al dan niet bij derden) beheren en bepalen hoe lang en waar gegevens worden opgeslagen en hoe dit beschermt wordt. In het kader van het onderstaande artikel zou in de casus de softwareleverancier als Verantwoordelijke kunnen worden aangemerkt.
Iemand die hier ook mee worstelt?
Aritkel:
https://www.considerati.com/nl/publicaties/blog/niet-alle-dienstverleners-die-persoonsgegevens-verwerken-zijn-bewerkers/
"Omdat Bluetrace zelf bepaalt welke soort gegevens het bedrijf verwerkt, hoe lang en met welke technische middelen, ligt de verantwoordelijkheid primair bij Bluetrace.135 Bluetrace heeft bovendien het feitelijk beheer over alle opgeslagen gegevens uit de trackingactiviteiten en de zeggenschap over eventueel te hanteren bewaartermijnen."
"Ook moet de verantwoordelijke ‘zeggenschap’ hebben over het ‘doel en de middelen van de verwerking’, zoals beslissen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enzovoort."
Ik begrijp dat de aard van de dienstverlening van het onderhavige bedrijf anders is dan die van een clouddienstverlener. Echter is het in de gevallen waarbij ondernemingen een accountantskantoor aanspreken, die op hun beurt weer gebruik maken van boekhoud-cloudsoftware, het de leverancier van het boekhoudsoftware die de technologische middelen, bewaartermijnen, het complete beheer en toegang tot alle gegevens heeft. Zij zullen de databases (al dan niet bij derden) beheren en bepalen hoe lang en waar gegevens worden opgeslagen en hoe dit beschermt wordt. In het kader van het onderstaande artikel zou in de casus de softwareleverancier als Verantwoordelijke kunnen worden aangemerkt.
Iemand die hier ook mee worstelt?
Aritkel:
https://www.considerati.com/nl/publicaties/blog/niet-alle-dienstverleners-die-persoonsgegevens-verwerken-zijn-bewerkers/
Bij de clouddienstverlener zijn daar in theorie ook vraagtekens bij te stellen. Een dienstverlener zou bijvoorbeeld kunnen zeggen dat zij gegevens aan Justitie kunnen geven bij strafbare zaken, maar formeel is dat dan een eigen keuze voor dat doel, en dat hoort een verwerker niet te doen.
Ehm. Ik mag hopen dat privacy gevoelige data, t.g.v. encryptie, niet toegankelijk is voor de clouddienstverlener. De clouddienstverlener is in dat geval ook geen verwerker van gegevens ?
13-12-2017, 17:14 door
SecOff
Door Anoniem: de leverancier van het boekhoudsoftware die de technologische middelen, bewaartermijnen, het complete beheer en toegang tot alle gegevens heeft. Zij zullen de databases (al dan niet bij derden) beheren en bepalen hoe lang en waar gegevens worden opgeslagen en hoe dit beschermt wordt. In het kader van het onderstaande artikel zou in de casus de softwareleverancier als Verantwoordelijke kunnen worden aangemerkt.
De leverancier van een boekhoudpakket hoort zeker niet te bepalen welke gegevens worden bewaard en hoe lang. Als je als klant je gegevens wilt verwijderen dan moet dat natuurlijk gewoon gebeuren, de cloud leverancier kan/mag ook niet zelfstandig beslissen de gegevens te verwijderen. Je bepaald ook zelf welke gegevens je in het boekhoudpakket zet en waarvoor. Dit is wezenlijk anders dan bij Bluetrace. Die boden een dienst aan maar bepaalden zelf welke gegevens ze daarvoor gebruikten.Een eenvoudiger aanpak dan nadenken over de termen "doel en middelen" is zoals genoemd kijken naar de "feitelijke situatie". Hierbij kijk je naar wie de echte zeggenschap heeft over de gegevens. Wie beslist er welke gegevens er worden opgeslagen/verwerkt, wie bepaald wie er toegang krijgt tot de gegevens, wie kan opdracht geven de gegevens te verwijderen. Dat is de verantwoordelijke.
Belastingtechnisch gezien zit het verhaal anders in elkaar. Daar ben je in beginsel zelf verantwoordelijk voor je administratie. Als je het uitbesteed aan een derde partij, dan heb je een zorgplicht. Die zorgplicht betekent dat je een partij moet kiezen waarvan je weet dat hij betrouwbaar is. Bovendien houdt die zorgplicht in dat je ook een vinger aan de pols moet houden.
Ik kan me voorstellen dat je een betrouwbare accountant hebt gekozen waardoor je al snel voldoet aan je zorgplicht. De meeste mensen kijken immers niet verder dan dat. Maar als je twijfels hebt over de wijze waarop hij jouw informatie bewaard (op een servertje in het buitenland). Dan moet je toch echt achter je oren krabben of je wel aan je zorgplicht voldoet wanneer je je administratie bij die partij laat liggen.
Ik kan me voorstellen dat je een betrouwbare accountant hebt gekozen waardoor je al snel voldoet aan je zorgplicht. De meeste mensen kijken immers niet verder dan dat. Maar als je twijfels hebt over de wijze waarop hij jouw informatie bewaard (op een servertje in het buitenland). Dan moet je toch echt achter je oren krabben of je wel aan je zorgplicht voldoet wanneer je je administratie bij die partij laat liggen.
13-12-2017, 20:31 door
karma4
Even opletten met de AVG ofwel GDPR.
Die gaat enkel of het verwerken van persoonsgegevens. Zijn die persoonsgegevens er niet of is het geheel onherkenbaar door aggregatie dan is de AVG niet van van toepassing. Zie artikel 1 na de begrippen http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
Die gaat enkel of het verwerken van persoonsgegevens. Zijn die persoonsgegevens er niet of is het geheel onherkenbaar door aggregatie dan is de AVG niet van van toepassing. Zie artikel 1 na de begrippen http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
Door karma4: Even opletten met de AVG ofwel GDPR.
Die gaat enkel of het verwerken van persoonsgegevens. Zijn die persoonsgegevens er niet of is het geheel onherkenbaar door aggregatie dan is de AVG niet van van toepassing.
Als er geen persoonsgegevens worden gebruikt maar alleen bedrijfsgegevens (die openbaar zijn) moet je dan ook rekening houden met de nieuwe AVG? Is dit voor een clouddienst dan ook belangrijk om te communiceren? https://goo.gl/D5MJYhDie gaat enkel of het verwerken van persoonsgegevens. Zijn die persoonsgegevens er niet of is het geheel onherkenbaar door aggregatie dan is de AVG niet van van toepassing.
Als er geen direct of indirect herleidbare persoonsgegevens aanwezig zijn, dan valt specifiek de AVG wetgeving niet over deze gegevens. Bedenk wel, bij jouw voorbeeld van online boekhouden, dat salarissen/vergoedingen aan personen (naam, rekeningnummer, etc) dan wél persoonsgegevens zijn. Ook medewerkers-gegevens zijn persoonsgegevens. Ook ZZP'ers schurkt erg dicht tegen persoonsgegevens aan.
Door SecOff:
Door Anoniem: de leverancier van het boekhoudsoftware die de technologische middelen, bewaartermijnen, het complete beheer en toegang tot alle gegevens heeft. Zij zullen de databases (al dan niet bij derden) beheren en bepalen hoe lang en waar gegevens worden opgeslagen en hoe dit beschermt wordt. In het kader van het onderstaande artikel zou in de casus de softwareleverancier als Verantwoordelijke kunnen worden aangemerkt.
De leverancier van een boekhoudpakket hoort zeker niet te bepalen welke gegevens worden bewaard en hoe lang. Als je als klant je gegevens wilt verwijderen dan moet dat natuurlijk gewoon gebeuren, de cloud leverancier kan/mag ook niet zelfstandig beslissen de gegevens te verwijderen. Je bepaald ook zelf welke gegevens je in het boekhoudpakket zet en waarvoor. Dit is wezenlijk anders dan bij Bluetrace. Die boden een dienst aan maar bepaalden zelf welke gegevens ze daarvoor gebruikten.Ik begrijp je punt, echter is het in de praktijk toch de softwareleverancier die bijvoorbeeld bepaalt hoe lang dingen opgeslagen blijven, ook bijvoorbeeld back-ups van administraties. Tuurlijk kan een betrokkene middels zijn 'recht te worden vergeten' een verzoek doen zijn gegevens te laten verwijderen, maar primair zullen dergelijke termijnen in door de softwareleverancier worden bepaald. Het verschil met Bluetrace is in de dienstverlening an sich zeer sterk, maar de algemene opmerkingen over welke factoren meewegen bij identificering van een Verantwoordelijke zijn daardoor niet minder van toepassing op andere situaties. Zeker wanneer het bijvoorbeeld technologische maatregelen betreft: dit zal natuurlijk door een onderneming of accountantskantoor zelf enigszins kunnen wordne toegepast, maar betreffende beveiliging van servers, databases en storages services zal de leverancier van de software dit bepalen.
Om terug te komen op je eigen criteria:
Een eenvoudiger aanpak dan nadenken over de termen "doel en middelen" is zoals genoemd kijken naar de "feitelijke situatie". Hierbij kijk je naar wie de echte zeggenschap heeft over de gegevens. Wie beslist er welke gegevens er worden opgeslagen/verwerkt, wie bepaald wie er toegang krijgt tot de gegevens, wie kan opdracht geven de gegevens te verwijderen. Dat is de verantwoordelijke.
Deze voornoemde criteria kan je ook toepassen op de software leverancier:
Uiteindelijk staan alle gegevens bij de softwareleverancier (of een derde hostingpartij) en heeft de softwareleverancier dus de feitelijk macht/beheer over de gegevens. Zij zijn immers degene die toegang kunnen verlenen en ontzeggen tot deze gegevens, of er simpelweg mee doen wat ze willen. Het is echter de betrokkene of zijn accoutant die bepaalt welke gegevens worden ingevuld, maar uiteindelijk de softwareleverancier bepaalt wat hier allemaal mee gebeurt: hoe de gegevens verwerkt worden, waar ze heen gaan, hoe lang het daar staat. wie (ook binnen het eigen bedrijf) toegang heeft, etc.
14-12-2017, 08:56 door
karma4
Door AlexdeVries82:
Als er geen persoonsgegevens worden gebruikt maar alleen bedrijfsgegevens (die openbaar zijn) moet je dan ook rekening houden met de nieuwe AVG? Is dit voor een clouddienst dan ook belangrijk om te communiceren?
Ah een vergelijkingssite over boekhoudprogramma's gericht op de kleine ondernemer en zzp-er.Als er geen persoonsgegevens worden gebruikt maar alleen bedrijfsgegevens (die openbaar zijn) moet je dan ook rekening houden met de nieuwe AVG? Is dit voor een clouddienst dan ook belangrijk om te communiceren?
Als AVG zal de AP zich er niet mee bemoeien als er geen persoonsgegevens zijn. Mogelijk dat de ACM wel iets doet in het geval van machtsmisbruik met een grote marktpartij tegenover de kleine zelfstandige.
Ik mis nogal wat op die site. Het lijkt op een consumenten prijs opties benadering. Voor zakelijk gebruik is het toch wat anders.
Zo maar wat opborrelen vragen.
- Hoe zit het met digitale koppelingen
- belastingaangifte xbrl omzet / jaarrekening
- gebruikt de service provider data verwerker de data als vergelijkingsmateriaal met anderen
- Hoe zit het met beschikbaarheid backup
- welke vragen diensten zijn er in het geheel bij de dienstverlener.
- wat zijn hun afspraken met de achterliggende datacenters
- kun je makkelijk naar elders overstappen.
Je hoeft het niet in detail te weten welk os welke software en routers. De techniek niet echt interessant.
Heg gaat om de service verlening naar jou als klant met jouw data als opdrachtgever. Ik denk dat je ook wel wilt weten wat en hoe er met jou data omgegaan wordt.
Nee de jaarrekening blijft niet geheim die gaat openbaar naar het kvk. Vandaar uit kunnen kredietbeoordelaars dat oppakken.
Jij als ondernemer staat daar persoonlijk openbaar bekend.
De scheidslijn naar persoonsgegevens is heel dun.
Met jouw vraag. Het lijkt me zeer gewenst zo niet vereist dat een clouddienst daar helder in is in dd communicatie.
Ik kan me voorstellen dat een rechter toch met een half oog naar de avg kijkt.
Ik begrijp niet zo goed, waarom deze vraag zo lastig is:
De ondernemer is verantwoordelijke voor de gegevens en laat deze door het accountantskantoor verwerken. Hiervoor is een verwerkersovereenkomst (hierna: verwerkersovereenkomst A) nodig (salarisgegevens, etc.). Hierin is duidelijk beschreven, wat het accountantskantoor met de persoonsgegevens moet doen, etc.
Als de ondernemer wil dat het accountantskantoor deze cloud-oplossing voor de verwerking gebruikt, is de ondernemer verantwoordelijke en moet hij ook een verwerkersovereenkomst (hierna: verwerkersovereenkomst B) met de cloud-leverancier afsluiten.
Als daarentegen het accountantskantoor besluit voor de verwerking een cloud-oplossing te gebruiken, is het accountantskantoor verantwoordelijke en moet zij een verwerkersovereenkomst (hierna: verwerkersovereenkomst C) met de cloud-leverancier afsluiten. Dit mag alleen, als het accountantskantoor zeker is dat de cloud-oplossing aan alle verplichtingen uit verwerkersovereenkomst A voldoet (Art. 28 lid 4). Daarnaast moet het accountantskantoor toestemming voor deze verwerking door de cloud-leverancier van de ondernemer hebben (Art. 28 lid 2). Het accountantskantoor is in dit geval ten aanzien van de ondernemer volledig aansprakelijk voor het nakomen van de verplichtingen door de cloud-leverancier (Art. 28 lid 4).
Datzelfde verhaal geldt ook voor de relatie cloud-leverancier <> hoster.
Wat zie ik over het hoofd, waarom deze vraag zo moeilijk te beantwoorden is?
De ondernemer is verantwoordelijke voor de gegevens en laat deze door het accountantskantoor verwerken. Hiervoor is een verwerkersovereenkomst (hierna: verwerkersovereenkomst A) nodig (salarisgegevens, etc.). Hierin is duidelijk beschreven, wat het accountantskantoor met de persoonsgegevens moet doen, etc.
Als de ondernemer wil dat het accountantskantoor deze cloud-oplossing voor de verwerking gebruikt, is de ondernemer verantwoordelijke en moet hij ook een verwerkersovereenkomst (hierna: verwerkersovereenkomst B) met de cloud-leverancier afsluiten.
Als daarentegen het accountantskantoor besluit voor de verwerking een cloud-oplossing te gebruiken, is het accountantskantoor verantwoordelijke en moet zij een verwerkersovereenkomst (hierna: verwerkersovereenkomst C) met de cloud-leverancier afsluiten. Dit mag alleen, als het accountantskantoor zeker is dat de cloud-oplossing aan alle verplichtingen uit verwerkersovereenkomst A voldoet (Art. 28 lid 4). Daarnaast moet het accountantskantoor toestemming voor deze verwerking door de cloud-leverancier van de ondernemer hebben (Art. 28 lid 2). Het accountantskantoor is in dit geval ten aanzien van de ondernemer volledig aansprakelijk voor het nakomen van de verplichtingen door de cloud-leverancier (Art. 28 lid 4).
Datzelfde verhaal geldt ook voor de relatie cloud-leverancier <> hoster.
Wat zie ik over het hoofd, waarom deze vraag zo moeilijk te beantwoorden is?
Door Anoniem: Ik begrijp niet zo goed, waarom deze vraag zo lastig is:
De ondernemer is verantwoordelijke voor de gegevens en laat deze door het accountantskantoor verwerken. Hiervoor is een verwerkersovereenkomst (hierna: verwerkersovereenkomst A) nodig (salarisgegevens, etc.). Hierin is duidelijk beschreven, wat het accountantskantoor met de persoonsgegevens moet doen, etc.
Als de ondernemer wil dat het accountantskantoor deze cloud-oplossing voor de verwerking gebruikt, is de ondernemer verantwoordelijke en moet hij ook een verwerkersovereenkomst (hierna: verwerkersovereenkomst B) met de cloud-leverancier afsluiten.
Als daarentegen het accountantskantoor besluit voor de verwerking een cloud-oplossing te gebruiken, is het accountantskantoor verantwoordelijke en moet zij een verwerkersovereenkomst (hierna: verwerkersovereenkomst C) met de cloud-leverancier afsluiten. Dit mag alleen, als het accountantskantoor zeker is dat de cloud-oplossing aan alle verplichtingen uit verwerkersovereenkomst A voldoet (Art. 28 lid 4). Daarnaast moet het accountantskantoor toestemming voor deze verwerking door de cloud-leverancier van de ondernemer hebben (Art. 28 lid 2). Het accountantskantoor is in dit geval ten aanzien van de ondernemer volledig aansprakelijk voor het nakomen van de verplichtingen door de cloud-leverancier (Art. 28 lid 4).
Datzelfde verhaal geldt ook voor de relatie cloud-leverancier <> hoster.
Wat zie ik over het hoofd, waarom deze vraag zo moeilijk te beantwoorden is?
De ondernemer is verantwoordelijke voor de gegevens en laat deze door het accountantskantoor verwerken. Hiervoor is een verwerkersovereenkomst (hierna: verwerkersovereenkomst A) nodig (salarisgegevens, etc.). Hierin is duidelijk beschreven, wat het accountantskantoor met de persoonsgegevens moet doen, etc.
Als de ondernemer wil dat het accountantskantoor deze cloud-oplossing voor de verwerking gebruikt, is de ondernemer verantwoordelijke en moet hij ook een verwerkersovereenkomst (hierna: verwerkersovereenkomst B) met de cloud-leverancier afsluiten.
Als daarentegen het accountantskantoor besluit voor de verwerking een cloud-oplossing te gebruiken, is het accountantskantoor verantwoordelijke en moet zij een verwerkersovereenkomst (hierna: verwerkersovereenkomst C) met de cloud-leverancier afsluiten. Dit mag alleen, als het accountantskantoor zeker is dat de cloud-oplossing aan alle verplichtingen uit verwerkersovereenkomst A voldoet (Art. 28 lid 4). Daarnaast moet het accountantskantoor toestemming voor deze verwerking door de cloud-leverancier van de ondernemer hebben (Art. 28 lid 2). Het accountantskantoor is in dit geval ten aanzien van de ondernemer volledig aansprakelijk voor het nakomen van de verplichtingen door de cloud-leverancier (Art. 28 lid 4).
Datzelfde verhaal geldt ook voor de relatie cloud-leverancier <> hoster.
Wat zie ik over het hoofd, waarom deze vraag zo moeilijk te beantwoorden is?
Wat is de ondernemer bij jou in het tweede scenario? Betrokkene kan het niet zijn, daar dit slaat op natuurlijke personen. Is de Ondernemer verantwoordelijke, het accountantskantoor verwerker en de cloudprovider sub-verwerker? En verschilt dit nog als de ondernemer zelf bijvoorbeeld een administratiekantoor zou zijn? Of veel persoonsgegevens van klanten (en bijv hun personeel en hun klanten), die ook weer onderneming zijn, zou hebben?
Deze ketens zijn in de praktijk niet heel zeldzaam en zorgt voor veel onduidelijkheid m.b.t. aansprakelijkheid en verantwoordelijkheid.
Door Anoniem om 13:07:
Wat is de ondernemer bij jou in het tweede scenario? Betrokkene kan het niet zijn, daar dit slaat op natuurlijke personen. Is de Ondernemer verantwoordelijke, het accountantskantoor verwerker en de cloudprovider sub-verwerker?
Wat bedoel je met het tweede scenario? Verwerkersovereenkomst C? Dan ja, verantwoordelijke, verwerker en sub-verwerker. En dat betekent automatisch ook, dat het accountantskantoor ten aanzien van de cloudprovider verantwoordelijke is en de cloudprovider verwerker.Wat is de ondernemer bij jou in het tweede scenario? Betrokkene kan het niet zijn, daar dit slaat op natuurlijke personen. Is de Ondernemer verantwoordelijke, het accountantskantoor verwerker en de cloudprovider sub-verwerker?
Volgens mij is dit het meest gebruikelijke antwoord op de vraag, waarbij 'x > y' betekent dat x verantwoordelijke is en y verwerker (en dat dus tussen x en y een verwerkersovereenkomst moet zijn afgesloten):
ondernemer > accountantskantoor > cloudprovider > hoster
Door Anoniem om 13:07:
En verschilt dit nog als de ondernemer zelf bijvoorbeeld een administratiekantoor zou zijn? Of veel persoonsgegevens van klanten (en bijv hun personeel en hun klanten), die ook weer onderneming zijn, zou hebben?
Nee, dat moet slechts in de verwerkersovereenkomst zijn vastgelegd (Art. 28 lid 3). Hoeveel gegevens het zijn en wat de aard van de gegevens is, maakt voor de relaties, verantwoordelijkheid en aansprakelijkheid weinig uit. Maar natuurlijk wel voor de technische en organisatorische maatregelen die de verwerker in de verwerkersovereenkomst opgelegd moeten zijn, opdat "de bescherming van de rechten van de betrokkene is gewaarborgd" (Art. 28 lid 1)!En verschilt dit nog als de ondernemer zelf bijvoorbeeld een administratiekantoor zou zijn? Of veel persoonsgegevens van klanten (en bijv hun personeel en hun klanten), die ook weer onderneming zijn, zou hebben?
Dan heb ik nog een andere vraag met betrekking tot sub-verwerkers: Volgens AVG Art. 28 lid 2 moet de verwerker toestemming hebben van de verantwoordelijke om een sub-verwerker in dienst te nemen of te veranderen. Als in dit geval de cloudprovider besluit een andere hoster te nemen, moet de cloudprovider algemene of specifieke toestemming hebben van het accountantskantoor. Moet het accountantskantoor in dit geval echter ook toestemming vragen bij de ondernemer? Het accountantskantoor verandert namelijk zelf niets aan haar verwerkers.
Link Art. 28 AVG: http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#d1e3136-1-1
Door Anoniem:
.....
Dan heb ik nog een andere vraag met betrekking tot sub-verwerkers: Volgens AVG Art. 28 lid 2 moet de verwerker toestemming hebben van de verantwoordelijke om een sub-verwerker in dienst te nemen of te veranderen. Als in dit geval de cloudprovider besluit een andere hoster te nemen, moet de cloudprovider algemene of specifieke toestemming hebben van het accountantskantoor. Moet het accountantskantoor in dit geval echter ook toestemming vragen bij de ondernemer? Het accountantskantoor verandert namelijk zelf niets aan haar verwerkers. ....
Prima diepgang in het onderwerp......
Dan heb ik nog een andere vraag met betrekking tot sub-verwerkers: Volgens AVG Art. 28 lid 2 moet de verwerker toestemming hebben van de verantwoordelijke om een sub-verwerker in dienst te nemen of te veranderen. Als in dit geval de cloudprovider besluit een andere hoster te nemen, moet de cloudprovider algemene of specifieke toestemming hebben van het accountantskantoor. Moet het accountantskantoor in dit geval echter ook toestemming vragen bij de ondernemer? Het accountantskantoor verandert namelijk zelf niets aan haar verwerkers. ....
Volgens mij staat het verscholen tussen alle regels door.
De opdrachtgever bepaalt wat er moet gebeuren
De opdrachtnemer ofwel data verwerker moet binnen die kaders en ook veel andere wettelijke zaken blijven.
De gebruikte techniek het hoe mag veranderd worden. De locatie of een andere subverwerker Zolang de voorwaarden en andere zaken maar niet veranderen.
Verplaatsten naar een derde land mag niet zo maar. De concurrentie rechter linker Twix wel.
Door Anoniem:
Volgens mij is dit het meest gebruikelijke antwoord op de vraag, waarbij 'x > y' betekent dat x verantwoordelijke is en y verwerker (en dat dus tussen x en y een verwerkersovereenkomst moet zijn afgesloten):
ondernemer > accountantskantoor > cloudprovider > hoster
Door Anoniem om 13:07:
Wat is de ondernemer bij jou in het tweede scenario? Betrokkene kan het niet zijn, daar dit slaat op natuurlijke personen. Is de Ondernemer verantwoordelijke, het accountantskantoor verwerker en de cloudprovider sub-verwerker?
Wat bedoel je met het tweede scenario? Verwerkersovereenkomst C? Dan ja, verantwoordelijke, verwerker en sub-verwerker. En dat betekent automatisch ook, dat het accountantskantoor ten aanzien van de cloudprovider verantwoordelijke is en de cloudprovider verwerker.Wat is de ondernemer bij jou in het tweede scenario? Betrokkene kan het niet zijn, daar dit slaat op natuurlijke personen. Is de Ondernemer verantwoordelijke, het accountantskantoor verwerker en de cloudprovider sub-verwerker?
Volgens mij is dit het meest gebruikelijke antwoord op de vraag, waarbij 'x > y' betekent dat x verantwoordelijke is en y verwerker (en dat dus tussen x en y een verwerkersovereenkomst moet zijn afgesloten):
ondernemer > accountantskantoor > cloudprovider > hoster
Ik betwijfel of dit correct is. In de situatie die jij beschrijft zijn er dus meerdere verwerkersovereenkomsten nodig voor 1 relatie, en wordt daarbij de verdeling van rollen (verwerker en verantwoordelijke) anders gemaakt.
Jij stelt immers dat in eerste instantie dat Ondernemer>accountant>provider>hoster, waarbij de ondernemer verantwoordelijke is, de accountant verwerker, provider sub-verwerker etc.
Echter zou, zoals jij stelt, de accountant t.o.v. de cloudprovider verantwoordelijke zij. Dit zou betekenen dat hij in dezelfde keten zowel als verweker als als verantwoordelijke wordt aangemerkt. Voor de Cloudprovider zou dit zelfs Verantwoordelijke, verwerker en subverwerker zijn. Deze rollen hebben verschillende verplichtingen en verantwoordelijkheden (bijv t.o.v. verwerkingsregister en PIA). Lijkt me niet dat dat logisch is. Zeker niet omdat hier wel dezelfde stroom aan persoonsgegevens doorheengaat, echter komt dit in beginsel samen bij de clouprovider (hier komen ook de gegevens van andere accountants en hun klanten binnen).
Door Anoniem:
...
Echter zou, zoals jij stelt, de accountant t.o.v. de cloudprovider verantwoordelijke zij. Dit zou betekenen dat hij in dezelfde keten zowel als verweker als als verantwoordelijke wordt aangemerkt. Voor de Cloudprovider zou dit zelfs Verantwoordelijke, verwerker en subverwerker zijn. Deze rollen hebben verschillende verplichtingen en verantwoordelijkheden (bijv t.o.v. verwerkingsregister en PIA). Lijkt me niet dat dat logisch is. Zeker niet omdat hier wel dezelfde stroom aan persoonsgegevens doorheengaat, echter komt dit in beginsel samen bij de clouprovider (hier komen ook de gegevens van andere accountants en hun klanten binnen).
In het meest waarschijnlijke scenario kiest het accountantskantoor er zelf voor om "doe mijn administratie"-opdrachten (of slechts een deel daarvan) van haar klanten extern in de cloud uit te laten voeren. Dan is het accountantskantoor voor deze keuze ook verantwoordlijk en dus t.o.v. de cloudprovider verantwoordelijke. Hiervoor is dan natuurlijk een verwerkersovereenkomst nodig. Deze kan echter zo algemeen zijn, dat deze voor alle "doe mijn administratie"-klanten van het accountantskantoor geldig is....
Echter zou, zoals jij stelt, de accountant t.o.v. de cloudprovider verantwoordelijke zij. Dit zou betekenen dat hij in dezelfde keten zowel als verweker als als verantwoordelijke wordt aangemerkt. Voor de Cloudprovider zou dit zelfs Verantwoordelijke, verwerker en subverwerker zijn. Deze rollen hebben verschillende verplichtingen en verantwoordelijkheden (bijv t.o.v. verwerkingsregister en PIA). Lijkt me niet dat dat logisch is. Zeker niet omdat hier wel dezelfde stroom aan persoonsgegevens doorheengaat, echter komt dit in beginsel samen bij de clouprovider (hier komen ook de gegevens van andere accountants en hun klanten binnen).
Op het moment dat het accountantskantoor nu een nieuwe "doe mijn administratie"-klant krijgt (bijv. de ondernemer uit de vraag), is enkel een verwerkersovereenkomst met de nieuwe klant nodig. Het gebruik van de cloudsoftware is namelijk al geregeld. Het accountantskantoor moet wel opletten dat de bestaande verwerkersovereenkomst met de cloudprovider alle voorwaarden uit de nieuwe verwerkersovereekomst met de klant vervuld.
Datzelfde geldt voor de relatie met de hoster.
Om het misschien nog wat te verduidelijken, helpt het om het van de andere kant te bekijken: De hoster kan niet weten of hij verwerker, sub-verwerker, subsub-verwerker of subsubsubsubsub-verwerker is. Maar dat maakt ook niets uit, de hoster moet zich alleen aan de verwerkersovereenkomst met de cloudprovider (en eventuele andere opdrachtgevers) houden (rol: verwerker). De cloudprovider moet op zijn beurt controleren dat de hoster zich ook echt aan zijn verplichtigen houdt (rol: verantwoordelijke) en zich zelf aan de verwerkersovereenkomst met het accountantskantoor (en eventuele andere opdrachtgevers) houden (rol: verwerker). Idem dito met het accountantskantoor, de ondernemer, de klanten van de ondernemer, etc.
Door Anoniem: Belastingtechnisch gezien zit het verhaal anders in elkaar. Daar ben je in beginsel zelf verantwoordelijk voor je administratie. Als je het uitbesteed aan een derde partij, dan heb je een zorgplicht. Die zorgplicht betekent dat je een partij moet kiezen waarvan je weet dat hij betrouwbaar is. Bovendien houdt die zorgplicht in dat je ook een vinger aan de pols moet houden.
Stel ik ben ZZP-er en ik laat mijn klanten contant betalen en ik wil niets bijhouden. Dan heb ik geen doel om een administratie te voeren. Dat doel wordt door de belastingdienst bepaalt. Zijn zij nu dan verantwoordelijke?
Natuurlijk niet, maar wel een leuke hersentraining is de vraag "waarom niet?"
Peter
Door Anoniem: Stel ik ben ZZP-er en ik laat mijn klanten contant betalen en ik wil niets bijhouden. Dan heb ik geen doel om een administratie te voeren. Dat doel wordt door de belastingdienst bepaalt. Zijn zij nu dan verantwoordelijke?
Natuurlijk niet, maar wel een leuke hersentraining is de vraag "waarom niet?"
Peter
Leuke vraag, maar volgens mij ligt het toch iets anders.Natuurlijk niet, maar wel een leuke hersentraining is de vraag "waarom niet?"
Peter
De belastingdienst bepaalt in dit geval niet het doel, de belastingdienst legt enkel een eis voor alle ondernemers vast (belasting betalen en kunnen bewijzen, dat alle belastingen braaf zijn betaald (= administratie voeren)).
De ZZP-er kan nu kiezen, óf deze regels volgen óf zwart werken (en hopen dat de belastingdienst het niet merkt).
Als de ZZP-er de regels wil volgen, is het doel van het voeren van de administratie het "voldoen aan de belastingregels". Dit doel bepaalt wel degelijk de ZZP-er, ook al vind hij/zij het misschien veel onnodige administratieve rompslomp.
Wat mij ontbreekt aan dit artikel is bij wie uiteindelijk de verantwoording ligt voor het tot stand komen van verwerkingsovereenkomsten. Zijn wij als verwerker verantwoordelijk voor het sturen van deze overeenkomsten naar onze klanten, of is dit een gedeelde verantwoordelijkheid?
Inderdaad wie is nu verantwoordelijk!!.
Dus ik als ict bedrijf moet verwerkingsovereenkomsten hebben zowel van mijn klanten als leveranciers.
Dus host ik mail binnen office365 voor een klant, dan moet er een overeenkomst komen tussen mij en de klant, waarin ik aangeef dat microsoft een subverwerker is. Of moet ik met microsoft ook een overeenkomst maken?
Want je bent al een verwerker van persoonsgegevens als we het hebben over naam en email adres.
En als de verantwoordelijke een overeenkomst moet maken ( mijn klant ) moet ik dus ook een overeenkomst maken met mijn leverancier ( want hun zijn dan weer de verwerker ).
En niet te vergeten moet ik ook weer een overeenkomst maken met mijn boekhouder en mijn boekhouder weer met de online boekhoud leverancier ( BV exact ).
Om het nog ingewikkelder te maken geeft Microsoft geen duidelijk antwoord waar ze de data van mijn klanten neer zetten, Ierland of amsterdam. Ze verplaatsen zelf de data hoe het ze uit komt. Want binnen de AVG wet moet ik in mijn overeenkomst opnemen o.a. waar de data staat opgeslagen.
Why would Microsoft move data to a different geo from my own?
The requirements of providing the services may mean that some data is moved to or accessed by Microsoft personnel or subcontractors outside the primary storage geo.
For instance, to address latency, routing data may need to be copied to different data centers in different geos. In addition, personnel who have the most technical expertise to troubleshoot specific service issues may be located in locations other than the primary location, and they may require access to systems or data for purposes of resolving an issue.
Ook moet in de overeenkomst komen de categorie van de betrokkenen, soort gegevens ( geen idee wat mijn klant allemaal in zijn mail communiceert of vraagt aan mensen ).
Of ben ik nu veel te ingewikkeld bezig?
Dus ik als ict bedrijf moet verwerkingsovereenkomsten hebben zowel van mijn klanten als leveranciers.
Dus host ik mail binnen office365 voor een klant, dan moet er een overeenkomst komen tussen mij en de klant, waarin ik aangeef dat microsoft een subverwerker is. Of moet ik met microsoft ook een overeenkomst maken?
Want je bent al een verwerker van persoonsgegevens als we het hebben over naam en email adres.
En als de verantwoordelijke een overeenkomst moet maken ( mijn klant ) moet ik dus ook een overeenkomst maken met mijn leverancier ( want hun zijn dan weer de verwerker ).
En niet te vergeten moet ik ook weer een overeenkomst maken met mijn boekhouder en mijn boekhouder weer met de online boekhoud leverancier ( BV exact ).
Om het nog ingewikkelder te maken geeft Microsoft geen duidelijk antwoord waar ze de data van mijn klanten neer zetten, Ierland of amsterdam. Ze verplaatsen zelf de data hoe het ze uit komt. Want binnen de AVG wet moet ik in mijn overeenkomst opnemen o.a. waar de data staat opgeslagen.
Why would Microsoft move data to a different geo from my own?
The requirements of providing the services may mean that some data is moved to or accessed by Microsoft personnel or subcontractors outside the primary storage geo.
For instance, to address latency, routing data may need to be copied to different data centers in different geos. In addition, personnel who have the most technical expertise to troubleshoot specific service issues may be located in locations other than the primary location, and they may require access to systems or data for purposes of resolving an issue.
Ook moet in de overeenkomst komen de categorie van de betrokkenen, soort gegevens ( geen idee wat mijn klant allemaal in zijn mail communiceert of vraagt aan mensen ).
Of ben ik nu veel te ingewikkeld bezig?
Door Anoniem: Als er geen direct of indirect herleidbare persoonsgegevens aanwezig zijn, dan valt specifiek de AVG wetgeving niet over deze gegevens. Bedenk wel, bij jouw voorbeeld van online boekhouden, dat salarissen/vergoedingen aan personen (naam, rekeningnummer, etc) dan wél persoonsgegevens zijn. Ook medewerkers-gegevens zijn persoonsgegevens. Ook ZZP'ers schurkt erg dicht tegen persoonsgegevens aan.
Je kunt ook leveranciersgegevens hebben die privacygevoelig zijn. De eenmanszaak van het klussenbedrijf 'H. van Dam' geeft in de administratie niet alleen adresgegevens, telefoonnummers maar ook het BTW-nummer (wat het sofinummer van de eigenaar is). Kortom, dan heb je al heel wat.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
