Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Als ondernemer heb ik mijn administratie uitbesteed bij een accountantskantoor. Zij maken daarbij weer gebruik van een (Nederlandse) clouddienstverlener die weer opslagruimte in Duitsland gebruikt. Wie is/zijn in dit geval onder de AVG de verantwoordelijke(n) en verwerker(s) en met wie moet ik daarvoor verwerkersovereenkomsten treffen?
Antwoord: Onder de AVG is het erg belangrijk vast te stellen wie er verantwoordelijk is voor een gegevensverwerking zoals een administratie, omdat deze partij aansprakelijk is voor boetes bij niet-nakoming van deze nieuwe privacywet. Ook kunnen betrokken personen bij deze partij claims indienen als hun gegevens incorrect worden verwerkt.
Een verantwoordelijke kan verwerkingen uitbesteden bij derden. Deze heten dan 'verwerkers' (onder de huidige wet 'bewerkers') en de verantwoordelijke moet zogeheten verwerkersovereenkomsten sluiten waarin kwaliteit en zorgvuldige verwerking wordt geborgd, eventueel met de mogelijkheid boetes te verhalen.
De wettelijke definitie van een verantwoordelijke is simpel: de partij die het doel van de verwerking bepaalt en de middelen daarvan kiest. De verwerker is dan een partij die de verwerking doet zonder deze bepaling en keuze te maken. Voor een administratie van een onderneming is daarmee het antwoord in eerste instantie simpel, namelijk de onderneming zelf is verantwoordelijke en het administratiekantoor/accountant is de verwerker.
Het wordt al snel echter onduidelijk, met name als je naar die middelen kijkt. Want de onderneming heeft niets te zeggen over de ontwikkeling en inzet van het cloudpakket voor de administratie, of meer algemeen welke middelen (zoals hardware en software) de accountant dan wel het cloudbedrijf of zijn datacenter inzet. Natuurlijk kunnen de partijen op papier vastleggen van wel, maar de feitelijke situatie verandert daar gewoonlijk niet door. Juridisch gezien geeft de feitelijke situatie de doorslag.
Het criterium van de keuze gaat niet zo ver dat de onderneming precies moet bepalen welke features in de software moeten zitten, of zelfs maar inspraak heeft in de ontwikkeling van de software. Het gaat er meer om of de data die in die software komt, alleen ten behoeve van deze onderneming wordt ingezet. Als de strekking van het contract is dat dit accountantskantoor de administratie van deze onderneming beheert en geen eigen doeleinden daarbij bepaalt, en de software combineert ook niet feitelijk die informatie met informatie van anderen, dan blijft het uiteindelijk de keuze voor een middel van de onderneming.
Belangrijker is dus de vraag wie de doelen van de verwerking bepaalt. In principe beantwoordt dat namelijk in 80% van de gevallen wie de verantwoordelijke is. Op zich is dat bij een onderneming vrij simpel: "doe mijn administratie" is een duidelijke keuze voor een doel. Maar specifiek bij een accountantskantoor kán daar meer bij komen kijken, met name de onafhankelijke toets op de jaarrekening. De NBA heeft daar een hele analyse over opgesteld.
Bij de clouddienstverlener zijn daar in theorie ook vraagtekens bij te stellen. Een dienstverlener zou bijvoorbeeld kunnen zeggen dat zij gegevens aan Justitie kunnen geven bij strafbare zaken, maar formeel is dat dan een eigen keuze voor dat doel, en dat hoort een verwerker niet te doen.
In ieder geval is het dus altijd zaak om dit duidelijk op papier te zetten zodat je de gegevensstromen duidelijk krijgt en daarmee een onderbouwing kunt geven wie er verantwoordelijke is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...
Juridische vraag: Helaas helaas houdt het bij mijn huidige werkgever op en moet ik eerdaags mijn laptop inleveren. Nu ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.