image

Juridische vraag: Zijn verwerkers van buiten de Europese Economische Ruimte toegestaan als het om medische persoonsgegevens gaat?

woensdag 10 januari 2018, 10:55 door Arnoud Engelfriet, 9 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Bij ons bedrijf beheren we medische persoonsgegevens ten behoeve van onze klanten. Wij doen dit vanuit Nederland, maar we overwegen nu een aantal individuen in te huren uit andere landen die specifieke werkzaamheden (zoals security testing of databasebeheer) gaan doen. Is dit toegestaan, ook als ze van buiten Europa komen?

Antwoord: Werken met bijzondere persoonsgegevens (gegevens over bijvoorbeeld gezondheid, seksualiteit of politieke voorkeur) vereist inderdaad speciale aandacht voor naleving van de privacywet (Wbp en vanaf 25 mei de AVG). De boetes én het toezicht op omgang met deze gegevens zijn immers steviger.

Maar op hoofdlijnen zijn de regels hezelfde. Je moet immers te allen tijde adequate security hanteren en kunnen aantonen dat je compliant bent (met de AVG). Het niveau van security zal hoger liggen dan een webshop met een nieuwsbrief, maar dat spreekt voor zich.

Het is zowel bij gewone als bij bijzondere persoonsgegevens toegestaan om derden werkzaamheden voor je te laten doen, mits je deze maar als verwerker aanstelt en een verwerkersovereenkomst met ze sluit. Daarmee heb je ze contractueel verplicht tot een aantal belangrijke zaken, zoals beveiligingseisen en het recht van toezicht en audits (door jou) ten aanzien van hun nakoming. Ook kun je daarin aansprakelijkheid en verhaal (vrijwaring) opnemen.

Dit geldt ook wanneer de verwerker van buiten de Europese Economische Ruimte (zeg maar de EU plus Noorwegen, IJsland en Liechtenstein) gevestigd is. Alleen heb je dan een extra hobbel te nemen, en dat is verzekeren dat het land van diens vestiging 'veilig' is in de ogen van de privacywet.

Een aantal landen, zoals Zwitserland, zijn door de EU expliciet erkend als veilig land. Je mag dus verwerkers in die landen contracteren alsof ze gewoon EER-landen zijn. Specifiek voor de VS geldt ook zo'n erkenning, het Privacy Shield. Daarbij geldt wel dat het enigszins twijfelachtig is of die afspraak wel houdbaar is, vanwege de Amerikaanse drang om te snuffelen in persoonsgegevens. Voor andere landen, bijvoorbeeld India, is er zo'n erkenning niet. Daar moet je dan een contract mee sluiten met de zogeheten modelclausules die door de EU zijn opgesteld.

In alle gevallen geldt wel het aandachtspunt dat jij als Europees bedrijf verantwoordelijk blijft voor wat die buitenlandse verwerker doet. Je kunt dat wel contractueel doorschuiven, maar uiteindelijk krijg jij de boete en moet je maar hopen dat je deze kunt verhalen. Plus, jij moet actief toezicht houden op je verwerkers en dat ook kunnen aantonen. Dat kan lastig zijn als je bv. een Indiaas callcenter inschakelt als klein Nederlands bedrijf.

Dus ja, het kan maar specifiek als het gaat om bijzondere persoonsgegevens zou ik het niet aanraden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
10-01-2018, 11:51 door Anoniem
@Arnoud

Je lijkt een andere vraag te beantwoorden dan gesteld is .
Je geeft antwoord voor het laten verwerken door een *bedrijf* elders .

De vraag gaat over het 'inhuren van individuen' .

Oftewel, maar je als Nederlands bedrijf iemand met een Indiaas/Marokkaans/Canadees/Australisch paspoort laten werken met persoonsgegevens.
Hier blijkbaar als beheerder of misschien pentester.

TS is helaas niet zo duidelijk of de individuen in Nederland als externe kracht ingehuurd worden, geleverd (in NL) door een NL detacheerder, of dat ze het werk op contractbasis verrichten in het land van hun paspoort . En of ze dat werk als (klein/zzp) bedrijfje doen, of als externe medewerken.

Maar juridisch vermoed ik (maar IANAL) is de situatie wel wat verschillend is tussen iemand met wie een arbeidsrelatie bestaat (ongeacht het paspoort) en een verwerkingscontract met een bedrijf gevestigd in een andere jurisdictie .
Bij een arbeidsrelatie met iemand in een andere jurisdictie vermoed ik dat het hoofdzakelijk de arbeidsrelatie is die het antwoord bepaald, met bepaalde uitzonderingen als de wetgeving waaraan de medewerker als burger./inwoner van dat land aan moet voldoen.
11-01-2018, 01:31 door Anoniem
Wettelijk is het een kwestie van schuld afschuiven, maar moreel kom je daar niet mee weg richting die duizenden tot miljoenen personen wiens persoonsgegevens je dient te beschermen. Hoe zou je het zelf vinden als je er achter komt dat je zeer gevoelige medische gegevens die een kliniek van je heeft in beheer worden gegeven aan een of ander louche IT-bedrijfje dat op zijn beurt meer geeft om de centjes en de grenzen van de wet opzoeken door liefst van buiten Europa een paar klusjesmannen in huurt om op de meest gevoelige gegevens van anderen te passen. Ik zou wel willen weten of je dat als bedrijfje met droge oogjes vooraf aan al die patienten durft te vertellen hoe je met hun gegevens wil omgaan omdat je ruimte meent te zien in de wet.

Je voert als bedrijfje een opdracht uit voor andere verwerkers van persoonsgegeven, maar die persoonsgegevens zijn van die personen die in zwaar vertrouwen hun meest gevoelige gegevens in beheer handen hebben gegeven van medici en de zorgbedrijven. Die zorgbedrijven gunnen een beheerbedrijf als van de TS niet slechts een opdracht waarbij voldaan moet worden aan de wet maar ook een zwaar vertrouwen in je bedrijf namens al die patienten. Het is ongehoord als je als bedrijf dan slechts de wet naast je contractje legt en bedenkt dat dat een fatsoenlijke manier is om met het gestelde vertrouwen en de gedachten achter de wettelijke bescherming van persoonsgegevens en het grondrecht op privacy om te gaan.

Mede op basis van dit soort handelspraktijken moet de wet steeds strenger worden omdat de verwerkers en beheerders van de persoonsgegevens van anderen zich meer zorgen maken om zichzelf in te dekken dan om de gedachten achter een grondrecht en de speciale wetgeving om privacy zo veel mogelijk te borgen. Het dringt maar niet door tot die beunhazen waarom dat grondrecht en die wetgeving bestaat en met wat voor soort gegevens ze bezig zijn. Het enige wat ze zien is een makkelijke manier om met andermans meest gevoelige gegevens heel veel geld te verdienen en zo veel mogelijk winst over te houden.

Het gaat tijd worden dat de bedrijven die persoonsgegevens van derden verwerken actief volledige verantwoording afleggen richting de eigenaren van de persoonsgegevens. Verklaren wie ze zijn, voor wie ze werken, welke gegevens ze van wanneer tot wanneer verwerken met gedetailleerde verklaring hoe men dat doet. Want waarschijnlijk leggen dit soort bedrijfjes niet eens actief verantwoording af naar de zorgbedrijven die hun inhuren. In het hele verhaal van de TS komt niet aan bod wat hun opdrachtgever er van denkt, laat staan wat de patienten van wie de medische persoonsgegevens zijn er van denken.

Welke journalist vraagt bij de medische wereld in Nederland eens na wie ze inhuren om de persoonsgegevens te verwerken en hoe die medische wereld er zeker van is dat die verwerkers niet maar wat aanrotzooien om de meeste winst te maken. En een antword als een accountant heeft een interviewtje of een checklistje afgenomen is geen antwoord. De misstanden met verwerken van medische persoonsgegevens zijn bijna niet meer te tellen.
11-01-2018, 09:05 door Anoniem
Een grote firma als het Isala klinieken werken na heel veel kritiek indertijd nog steeds met via via louche bedrijven.
11-01-2018, 10:43 door Arnoud Engelfriet
Door Anoniem: Je geeft antwoord voor het laten verwerken door een *bedrijf* elders .

De vraag gaat over het 'inhuren van individuen' .

Dank voor de aanvulling. Ik had gelezen dat het ging om een externe zzp'er inhuren, dat is juridisch hetzelfde als een bedrijf inhuren want een zzp'er is een bedrijf. Dus dat is gewoon een verwerkersrelatie dan.

Als je een werknemer aanneemt met standplaats Mumbai dan is die persoon natuurlijk geen externe en geen bedrijf, dus geen verwerker. Jij bent dan gewoon als werkgever aansprakelijk voor zijn handelen, en dat compliance door de afstand lastig af te dwingen is, is jouw probleem verder. Dus die specifieke situatie vind ik eigenlijk simpeler dan een zzp'er inhuren.
11-01-2018, 11:41 door Anoniem
Door Arnoud Engelfriet: Jij bent dan gewoon als werkgever aansprakelijk voor zijn handelen, en dat compliance door de afstand lastig af te dwingen is, is jouw probleem verder.
Lastig af te dwingen is het understatement van de eeuw. Je doet het klinken alsof het het probleem van de patienten is dat ondernemers als die van de TS zich aan de wet kunnen houden. Het probleem is niet de compliance maar de vrijheid die verwerkers van persoonsgegevens nemen om de wettelijke bescherming als formaliteiten te zien om compliant te zijn. De wet eist bescherming in passende organisatorische en technische maatregelen. Dat passen slaat op het beschermen, niet op wat bij de ondernemer past. De wetgever is duidelijk is over het belang van de bescherming. Er is zelfs aparte wetgeving gemaakt en de speelruimte om die bescherming te verslappen is nog verder verduidelijkt door expliciet internationale context als belemmering aan te geven. Dan slechts voorzien van een simpel je bent gewoon werkgever en compliance is jou probleem doet geen eer aan de gedachte van de wetten tot bescherming. De wetgever is in haar jurispudentie over werkplaatsen ook niet mals wat betreft de druk die op de werkgever ligt om met fatsoenlijk werkgeversschap aan bijvoorbeeld de wbp te voldoen. Op afstand werken en fysiek je werknemers nooit ontmoeten en vertrouwen leggen in eigen verantwoordelijkheid van inhuurkrachten is heel iets anders dan werknemers 8 uur binnen het eigen kantooromgeving hebben en fysiek kunnen zien, horen en interactie mee kunnen hebben. Leg dat naast de verplichtingen en bedenk hoe idioot het bij de patienten zal klinken dat je er als opdrachtnemer toch voor hebt gekozen om bijna alle waarschuwingen van de wetgever naast je neer te leggen en eigenwijs van buiten EU wat inhuurkrachten toegang te geven tot de bijzondere persoonsgegevens. Maar he, welke ondernemer of jurist maakt zich nog druk om de achterliggende gedachten van al die verplichtingen. Wettekstje, papiertje, pennetje, contractje, andermans gegevens, zakje geld prima voor elkaar. Als het mis gaat doen we net alsof het het probleem van de werkgever is want who cares dat de patienten echt in de problemen zitten die je als ondernemer nooit ongedaan kan maken en nooit kan rechtzetten. De rechter zegt toch wel dat die patienten geen schade kunnen aantonen als hun gegevens gelekt zijn of geheel volgens het contract waren aangetast. Het geld is binnen, de ondernemer is blij, de jurist is blij. Lekker gewerkt.
11-01-2018, 12:03 door spatieman
en dan heeft het betreffende land een contract met de NSA om alsnog de medische gegeven te krijgen.
dat is als het al niet gebeurd dank zij de buildin backdoor
11-01-2018, 13:46 door Anoniem
Door spatieman: en dan heeft het betreffende land een contract met de NSA om alsnog de medische gegeven te krijgen.
dat is als het al niet gebeurd dank zij de buildin backdoor

Wat kunnen sommige mensen toch negatief zijn en overal die kuchNSAkuch bij betrekken, jammer. (en ik heb er echt niks mee) Het is gewoon een feit dat organisaties realen en dealen met informatie, daar is niks specifieks aan te bedenken en aan één club te hangen, je moet gewoon je beveiliging goed op orde hebben. Uit uiteindelijk ans het puntje bij het paaltje komt en iemand jouw data wil dan krijgt hij of zij die toch wel. maak je geen illusies.
11-01-2018, 15:23 door Anoniem
en dan heeft het betreffende land een contract met de NSA om alsnog de medische gegeven te krijgen.
dat is als het al niet gebeurd dank zij de buildin backdoor

Typisch weer zo'n niets-zeggende spatieman vraag.
12-01-2018, 21:20 door karma4 - Bijgewerkt: 12-01-2018, 21:22
Door Anoniem: Lastig af te dwingen is het understatement van de eeuw. Je doet het klinken alsof het het probleem van de patienten is dat ondernemers als die van de TS zich aan de wet kunnen houden. ...
Arnoud heeft gelijk Met de GDPR veel makkelijker. Geen AP als enige papieren tijger, je kan naar de gewone rechter en de schade verhalen. De verantwoordelijke blijft aansprakelijk zonder enige uitweg. "Is uitbesteed" is meteen een schuldbekentenis. De GDPR meld dat uitdrukkelijk.. Zodra dat gebeurt moet de papieren tijger ook wat gaan doen.

De vraag: Geen idee welke advocaat dat voortouw gaat nemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.