Juridische vraag: Zijn verwerkers van buiten de Europese Economische Ruimte toegestaan als het om medische persoonsgegevens gaat?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Bij ons bedrijf beheren we medische persoonsgegevens ten behoeve van onze klanten. Wij doen dit vanuit Nederland, maar we overwegen nu een aantal individuen in te huren uit andere landen die specifieke werkzaamheden (zoals security testing of databasebeheer) gaan doen. Is dit toegestaan, ook als ze van buiten Europa komen?
Antwoord: Werken met bijzondere persoonsgegevens (gegevens over bijvoorbeeld gezondheid, seksualiteit of politieke voorkeur) vereist inderdaad speciale aandacht voor naleving van de privacywet (Wbp en vanaf 25 mei de AVG). De boetes én het toezicht op omgang met deze gegevens zijn immers steviger.
Maar op hoofdlijnen zijn de regels hezelfde. Je moet immers te allen tijde adequate security hanteren en kunnen aantonen dat je compliant bent (met de AVG). Het niveau van security zal hoger liggen dan een webshop met een nieuwsbrief, maar dat spreekt voor zich.
Het is zowel bij gewone als bij bijzondere persoonsgegevens toegestaan om derden werkzaamheden voor je te laten doen, mits je deze maar als verwerker aanstelt en een verwerkersovereenkomst met ze sluit. Daarmee heb je ze contractueel verplicht tot een aantal belangrijke zaken, zoals beveiligingseisen en het recht van toezicht en audits (door jou) ten aanzien van hun nakoming. Ook kun je daarin aansprakelijkheid en verhaal (vrijwaring) opnemen.
Dit geldt ook wanneer de verwerker van buiten de Europese Economische Ruimte (zeg maar de EU plus Noorwegen, IJsland en Liechtenstein) gevestigd is. Alleen heb je dan een extra hobbel te nemen, en dat is verzekeren dat het land van diens vestiging 'veilig' is in de ogen van de privacywet.
Een aantal landen, zoals Zwitserland, zijn door de EU expliciet erkend als veilig land. Je mag dus verwerkers in die landen contracteren alsof ze gewoon EER-landen zijn. Specifiek voor de VS geldt ook zo'n erkenning, het Privacy Shield. Daarbij geldt wel dat het enigszins twijfelachtig is of die afspraak wel houdbaar is, vanwege de Amerikaanse drang om te snuffelen in persoonsgegevens. Voor andere landen, bijvoorbeeld India, is er zo'n erkenning niet. Daar moet je dan een contract mee sluiten met de zogeheten modelclausules die door de EU zijn opgesteld.
In alle gevallen geldt wel het aandachtspunt dat jij als Europees bedrijf verantwoordelijk blijft voor wat die buitenlandse verwerker doet. Je kunt dat wel contractueel doorschuiven, maar uiteindelijk krijg jij de boete en moet je maar hopen dat je deze kunt verhalen. Plus, jij moet actief toezicht houden op je verwerkers en dat ook kunnen aantonen. Dat kan lastig zijn als je bv. een Indiaas callcenter inschakelt als klein Nederlands bedrijf.
Dus ja, het kan maar specifiek als het gaat om bijzondere persoonsgegevens zou ik het niet aanraden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je lijkt een andere vraag te beantwoorden dan gesteld is .
Je geeft antwoord voor het laten verwerken door een *bedrijf* elders .
De vraag gaat over het 'inhuren van individuen' .
Oftewel, maar je als Nederlands bedrijf iemand met een Indiaas/Marokkaans/Canadees/Australisch paspoort laten werken met persoonsgegevens.
Hier blijkbaar als beheerder of misschien pentester.
TS is helaas niet zo duidelijk of de individuen in Nederland als externe kracht ingehuurd worden, geleverd (in NL) door een NL detacheerder, of dat ze het werk op contractbasis verrichten in het land van hun paspoort . En of ze dat werk als (klein/zzp) bedrijfje doen, of als externe medewerken.
Maar juridisch vermoed ik (maar IANAL) is de situatie wel wat verschillend is tussen iemand met wie een arbeidsrelatie bestaat (ongeacht het paspoort) en een verwerkingscontract met een bedrijf gevestigd in een andere jurisdictie .
Bij een arbeidsrelatie met iemand in een andere jurisdictie vermoed ik dat het hoofdzakelijk de arbeidsrelatie is die het antwoord bepaald, met bepaalde uitzonderingen als de wetgeving waaraan de medewerker als burger./inwoner van dat land aan moet voldoen.
Je voert als bedrijfje een opdracht uit voor andere verwerkers van persoonsgegeven, maar die persoonsgegevens zijn van die personen die in zwaar vertrouwen hun meest gevoelige gegevens in beheer handen hebben gegeven van medici en de zorgbedrijven. Die zorgbedrijven gunnen een beheerbedrijf als van de TS niet slechts een opdracht waarbij voldaan moet worden aan de wet maar ook een zwaar vertrouwen in je bedrijf namens al die patienten. Het is ongehoord als je als bedrijf dan slechts de wet naast je contractje legt en bedenkt dat dat een fatsoenlijke manier is om met het gestelde vertrouwen en de gedachten achter de wettelijke bescherming van persoonsgegevens en het grondrecht op privacy om te gaan.
Mede op basis van dit soort handelspraktijken moet de wet steeds strenger worden omdat de verwerkers en beheerders van de persoonsgegevens van anderen zich meer zorgen maken om zichzelf in te dekken dan om de gedachten achter een grondrecht en de speciale wetgeving om privacy zo veel mogelijk te borgen. Het dringt maar niet door tot die beunhazen waarom dat grondrecht en die wetgeving bestaat en met wat voor soort gegevens ze bezig zijn. Het enige wat ze zien is een makkelijke manier om met andermans meest gevoelige gegevens heel veel geld te verdienen en zo veel mogelijk winst over te houden.
Het gaat tijd worden dat de bedrijven die persoonsgegevens van derden verwerken actief volledige verantwoording afleggen richting de eigenaren van de persoonsgegevens. Verklaren wie ze zijn, voor wie ze werken, welke gegevens ze van wanneer tot wanneer verwerken met gedetailleerde verklaring hoe men dat doet. Want waarschijnlijk leggen dit soort bedrijfjes niet eens actief verantwoording af naar de zorgbedrijven die hun inhuren. In het hele verhaal van de TS komt niet aan bod wat hun opdrachtgever er van denkt, laat staan wat de patienten van wie de medische persoonsgegevens zijn er van denken.
Welke journalist vraagt bij de medische wereld in Nederland eens na wie ze inhuren om de persoonsgegevens te verwerken en hoe die medische wereld er zeker van is dat die verwerkers niet maar wat aanrotzooien om de meeste winst te maken. En een antword als een accountant heeft een interviewtje of een checklistje afgenomen is geen antwoord. De misstanden met verwerken van medische persoonsgegevens zijn bijna niet meer te tellen.
De vraag gaat over het 'inhuren van individuen' .
Dank voor de aanvulling. Ik had gelezen dat het ging om een externe zzp'er inhuren, dat is juridisch hetzelfde als een bedrijf inhuren want een zzp'er is een bedrijf. Dus dat is gewoon een verwerkersrelatie dan.
Als je een werknemer aanneemt met standplaats Mumbai dan is die persoon natuurlijk geen externe en geen bedrijf, dus geen verwerker. Jij bent dan gewoon als werkgever aansprakelijk voor zijn handelen, en dat compliance door de afstand lastig af te dwingen is, is jouw probleem verder. Dus die specifieke situatie vind ik eigenlijk simpeler dan een zzp'er inhuren.
dat is als het al niet gebeurd dank zij de buildin backdoor
dat is als het al niet gebeurd dank zij de buildin backdoor
Wat kunnen sommige mensen toch negatief zijn en overal die kuchNSAkuch bij betrekken, jammer. (en ik heb er echt niks mee) Het is gewoon een feit dat organisaties realen en dealen met informatie, daar is niks specifieks aan te bedenken en aan één club te hangen, je moet gewoon je beveiliging goed op orde hebben. Uit uiteindelijk ans het puntje bij het paaltje komt en iemand jouw data wil dan krijgt hij of zij die toch wel. maak je geen illusies.
dat is als het al niet gebeurd dank zij de buildin backdoor
Typisch weer zo'n niets-zeggende spatieman vraag.
De vraag: Geen idee welke advocaat dat voortouw gaat nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.