image

Juridische vraag: Ben je ook al een bewerker als je alleen maar toegang tot persoonsgegevens hebt?

woensdag 31 januari 2018, 14:37 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Enige tijd geleden blogde je over de status als bewerker (verwerker) van een ICT-leverancier. Daarin zeg je onder meer dat iemand een bewerker is als hij technisch ergens bij kan, zelfs als hem dat contractueel is verboden. Maar klopt dat wel, hij voert toch geen verwerkingshandelingen uit als hij geen toegang neemt tot die gegevens? Bovendien, wat zet je dan in de overeenkomst, ik als bewerker beloof geen verwerking te doen?

Antwoord: Dit is een goed punt, en laat zien waarom het zo'n lastige discussie is om te bepalen of een derde partij een verwerker is. De wettelijke criteria (wie bepaalt doel en middelen) zijn nogal vaag en daardoor niet goed geschikt om de knoop mee door te hakken.

Soms kun je inderdaad nog een stapje terug doen: als de derde partij überhaupt geen verwerkingen van persoonsgegevens uitvoert, dan is bewerkerschap helemaal niet aan de orde. Immers een bewerker verwerkt, per definitie. Verwerken is volgens de wet "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens". Weliswaar valt ook het wissen en vernietigen daarvan onder die definitie, maar er moet wel iets van een handeling zijn.

Echter, enkel dat iets niet mág, is niet genoeg om te zeggen dat iemand het niet gáát doen. Dingen kunnen per ongeluk open staan of op de verkeerde plek toegankelijk zijn. Als je het dan formeel bekijkt, dan is een ingreep van die ICT-er, bijvoorbeeld de map gauw dichtzetten of de kopie wissen, een handeling op die persoonsgegevens en is hij dus bewerker. De enige actie om dan géén bewerker te zijn, is je toetsenbord laten vallen en de privacy officer bellen.

In de praktijk zie je dat men vanwege zorgen over dit soort situaties vaak zegt, we gaan je toch als bewerker/verwerker aanmerken zodat we geen risico lopen als dit gebeurt. Het enige echte antwoord daarop is dat jij niet mag en wil werken in die situaties, dus geen bewerkershandelingen zál gaan verrichten en dus geen bewerker bent. En dan voet bij stuk houden, ook bij "Maar dan heb je er geen last van als je deze bewerkersovereenkomst even tekent, en wij willen het graag voor ons gevoel van zekerheid".

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
31-01-2018, 15:12 door Anoniem
Volgens mij is er een subtiel verschil tussen bewerken, en verwerken. Bewerken impliceert het aanbrengen van wijzigingen.
31-01-2018, 15:37 door Anoniem
Een map dichtzetten lijkt mij geen verwerking op persoonsgegevens. Dat is toegangsbeheer tot de gegevens (faciliteren).
31-01-2018, 17:29 door Anoniem
Door Anoniem: Volgens mij is er een subtiel verschil tussen bewerken, en verwerken. Bewerken impliceert het aanbrengen van wijzigingen.

Volgens de definitie is opslaan ook verwerken:


Artikel 4, definities:

2) "verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; , , ,
31-01-2018, 17:30 door Anoniem
Door Anoniem: Een map dichtzetten lijkt mij geen verwerking op persoonsgegevens. Dat is toegangsbeheer tot de gegevens (faciliteren).


Zie definitie van verwerken: Afschermen is dus ook verwerken:

2) "verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; , , ,
31-01-2018, 20:30 door Anoniem
Afz FB

Tja.
Als professional meen ik dat je in ieder geval ook naar de bedoeling van de wet moet kijken. Niet alleen naar een individueel regeltje.

De bedoeling van de wet is bescherming van personen door beschikbaarheid en gebruik van persoonsgegevens zoveel mogelijk te beperken (ongewenst gebruik voorkomen). Verwerking mag daarom alleen als er een goede reden voor is.

Er staan vele regeltjes in de wet waarmee de bedoeling van de wet wordt gewaarborgd. Een daarvan is een bewerkersovereenkomst als een bewerking namens de verantwoordelijke door een ander wordt uitgevoerd. Nu kan je dit regeltje een absolute betekenis geven voor elke situatie waar een individu kennis kan nemen van gegevens over een subject. Dan wordt het wel heel ingewikkeld. Ik meen dat dit niet de bedoeling is/kan zijn van de wetgever.

Ik meen dat de wetsregels absoluut zijn voor de gevallen waar de intentie bestaat om te verwerken. Ik meen daarnaast dat de regels niet absoluut zijn als er zich een niet voorziene situatie voordoet en er geen intentie is tot (verdere) gegevensverwerking.
Ongeveer net zoals in het verkeer en de scheepvaart. Daar geldt: "de eerste regel is het voorkomen van ongelukken".

Ik meen derhalve dat als je een 'gevaarlijke situatie' tegenkomt, dat je dan de menselijke plicht heb die 'gevaarlijke situatie' te beëindigen. Ook als het om persoonsgegevens gaat. Het sluiten van een map als die oneigenlijk open staat houdt in deze context geen verwerking van persoonsgegevens in die een verwerkingsovereenkomst noodzakelijk maakt.

Natuurlijk bestaat ook hier het gevaar van een glijdende schaal. Een organisatie zou hiervan misbruik kunnen maken.

Ondanks bovenstaande. Op het moment dat een verwerker verder gaat dan de instructies van een verantwoordelijke, op dat moment is de verwerker zelf een verantwoordelijke geworden ihkv de AVG.

Graag jullie reacties op mijn zienswijze.
01-02-2018, 09:19 door Anoniem
Bovenstaande reacties gaan voorbij aan Artikel 5 lid 2 van de AVG die stelt dat je compliance moet aantonen. Als een medewerker toegang heeft, kan deze de gegevens inzien. Dan zul je, bijvoorbeeld middels loggegevens, moeten aantonen dat de gegevens niet zijn ingezien, ofwel verwerkt.
01-02-2018, 10:56 door Anoniem
Als je wel toegang tot de gegevens hebt maar geen verwerker bent (je voert geen verwerkershandelingen uit) dan gaat er naar mijn idee wat verkeerd.
Verwerkingsverantwoordelijken moeten namelijk technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeautoriseerde verwerkingen.
Contractueel afstemmen dat de verwerker (die geen verwerker is) geen kennis neemt van de gegevens is geen passende maatregel omdat je ongeautoriseerde toegang hier niet mee voorkomt. Hetzelfde geld voor het bijhouden van logbestanden; Logbestanden worden gebruikt om achteraf te kunnen controleren en niet om gegevens te beschermen.

In dit specifieke geval moet de verwerkingsverantwoordelijke dus maatregelen treffen om uit te sluiten dat de betreffende partij toegang tot de gegevens krijgt.
01-02-2018, 21:17 door karma4
Niet moeilijker maken dan het is. Bij Nederlandse wetten is er geen inleiding met definitie van de begrippen. Bij de GDPR in Nederlands AVG is die er wel. http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL

De vraag is over:
"(11) Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten. "

"(28) De toepassing van pseudonimisering op persoonsgegevens kan de risico's voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten."

Artikel 4.
8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
...
20) „bindende bedrijfsvoorschriften”: beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen;

Artikel 29
Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker
De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.

Artikel 32...
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

--- --- ---

De hele tekst geeft aan dat je als verwerker aangemerkt wordt zodra je toegang tot persoonsgegevens hebt.
Opslaan bewaren of materiaal vernietigen waarbij anderen persoonsgegevens kunnen komen maakt je verantwoordelijk.
Zeggen":
"We hadden toegang tot persoonsgegevens, dat is bij ons gelekt. Maar omdat wij niets er mee deden zijn we niet aansprakelijk zal zeer waarschijnlijk falen" . Zorgen dat je geen persoonsgegevens in de gegevens hebt is het beste. Als dat wel zo is dan gewoon aan wetgeving voldoen.
01-02-2018, 23:32 door Anoniem
Door karma4: De hele tekst geeft aan dat je als verwerker aangemerkt wordt zodra je toegang tot persoonsgegevens hebt.
Opslaan bewaren of materiaal vernietigen waarbij anderen persoonsgegevens kunnen komen maakt je verantwoordelijk.
Waarmee alle beheerders met rechten tot serverparken of server instances dus ook meegenomen moeten worden in de erkenning dat ze verwerker zijn van data van klanten waarin persoonsgegevens staan. Ongeacht of ze wel of niet de inhoud van de data ooit gezien hebben.
02-02-2018, 07:44 door Anoniem
Door karma4:De hele tekst geeft aan dat je als verwerker aangemerkt wordt zodra je toegang tot persoonsgegevens hebt.
Dan is nog steeds de vraag: Wat is toegang?

Als ik rackspace huur bij een derde partij, heeft die derde partij dan "toegang" tot de persoonsgegevens op mijn servers, alhoewel ze eigenlijk alleen ruimte + stroom + netwerk zou moeten verzorgen? En maakt het dan wat uit of de harde schijven versleuteld zijn of niet (aangezien RAM over het algemeen niet versleuteld is)? En wat als de serverracks op slot zijn en alleen ik de sleutel heb? En hoe zit het met de schoonmaakdienst? Enz. enz. enz.

En zo zijn er nog veel meer voorbeelden te noemen waarbij een toegang tot persoonsgegevens niet 100% uitgesloten kan worden, maar de derde partij voor de eigenlijke dienstverlening geen enkele reden heeft om ook maar in de buurt van die persoonsgegevens te komen. In zulke gevallen is het wel degelijk zinvol om je af te vragen of een verwerkersovereenkomst echt nodig is, zowel voor de verantwoordelijke als voor de dienstverlener.
02-02-2018, 11:28 door karma4
Door Anoniem:
Waarmee alle beheerders met rechten tot serverparken of server instances dus ook meegenomen moeten worden in de erkenning dat ze verwerker zijn van data van klanten waarin persoonsgegevens staan. Ongeacht of ze wel of niet de inhoud van de data ooit gezien hebben.
Als ze de gegevens onterecht zien heb je dan niet meteen een datalek? De impact is laag en geheimhoudingsplicht van de persoon is een buffer. Maken we ons ook niet druk als de rechten tot suwi voor het hele gemeentepersoneel open staat ondanks dat de meesten niet zouden weten hoe die toegangsrechten te gebruiken.

Als ik rackspace huur bij een derde partij, heeft die derde partij dan "toegang" tot de persoonsgegevens op mijn servers, alhoewel ze eigenlijk alleen ruimte + stroom + netwerk zou moeten verzorgen? En maakt het dan wat uit of de harde schijven versleuteld zijn of niet (aangezien RAM over het algemeen niet versleuteld is)? En wat als de serverracks op slot zijn en alleen ik de sleutel heb? En hoe zit het met de schoonmaakdienst? Enz. enz. enz.
Met rackspace AWS Azure maak je voor de verwerking door de machines een verwerkersovereenkomst. Als de machines uitvallen een backup verloren gaat of wat dan ook is de toegang tot persoonsgegevens verloren en dat is ook wat via de GDPR expliciet genoemd is als een verwerkingsprobleem.

Ik zou je uitzondering zien bij het nutsdeel zoals internet. Daar heb je wel een mogelijk singel point of failure waar het singel point of contact een andere is.
02-02-2018, 12:09 door Anoniem
Zodra je al dan niet geautomatiseerd backups maakt van die persoons gegevens ben je verwerker.

Bij het maken van een backup wordt de data nl. opgehaald door de backup software/appliance/script, doordat je meestal retention ingericht hebt op de hoeveelheid backups verwijder je ook deze backups en dus die persoons gegevens.

Allemaal handelingen die volgens de definitie van de wet vallen onder de term: verwerker.
02-02-2018, 12:39 door Anoniem
Door karma4: Als ze de gegevens onterecht zien heb je dan niet meteen een datalek? De impact is laag en geheimhoudingsplicht van de persoon is een buffer. Maken we ons ook niet druk als de rechten tot suwi voor het hele gemeentepersoneel open staat ondanks dat de meesten niet zouden weten hoe die toegangsrechten te gebruiken.
Het zou minstens impliceren dat beheerders die op data-niveau werken erkend moeten zijn als verwerkers. Wat al een stap verder is dan de meeste organisaties rekening mee willen houden om persoonsgegevens te beschermen. Laten we niet vergeten dat de wet bescherming eist.

Met rackspace AWS Azure maak je voor de verwerking door de machines een verwerkersovereenkomst. Als de machines uitvallen een backup verloren gaat of wat dan ook is de toegang tot persoonsgegevens verloren en dat is ook wat via de GDPR expliciet genoemd is als een verwerkingsprobleem.
Exact. Een bescherming is weinig doeltreffend als de personen die uit hun functie direct invloed op data kunnen hebben (zien,veranderen,toegang autoriseren) voor het gemak buiten beschouwing worden gelaten. Daarmee gaat een opdrachtgever voorbij aan de plicht om de verantwoordelijkheid zelf te borgen. Helaas is het aanmaken van een instance niet voldoende om die verwerkersovereenkomst naar de wet te borgen. Hopelijk hebben dienstverleners in Europa dat wel door, die kunnen zich ook niet verschuilen achter een 'ik wist niet dat ik verwerker werd'. Maar of een clausule in de door hun opgestelde overeenkomst afdoende voor de opdrachtgever is om te denken dat dan aan de wet is voldaan? Waarschijnlijk niet, tenzij de verwerker zicht heeft op wat er met de data gebeurt. Clubjes als AWS of MS zullen voor de meeste klanten dit niet borgen als die simpele contracten afnemen.
02-02-2018, 13:05 door Anoniem
Door karma4:
Als ik rackspace huur bij een derde partij, heeft die derde partij dan "toegang" tot de persoonsgegevens op mijn servers, alhoewel ze eigenlijk alleen ruimte + stroom + netwerk zou moeten verzorgen? En maakt het dan wat uit of de harde schijven versleuteld zijn of niet (aangezien RAM over het algemeen niet versleuteld is)? En wat als de serverracks op slot zijn en alleen ik de sleutel heb? En hoe zit het met de schoonmaakdienst? Enz. enz. enz.
Met rackspace AWS Azure maak je voor de verwerking door de machines een verwerkersovereenkomst. Als de machines uitvallen een backup verloren gaat of wat dan ook is de toegang tot persoonsgegevens verloren en dat is ook wat via de GDPR expliciet genoemd is als een verwerkingsprobleem.
Rackspace != cloud. Ik bedoelde enkel ruimte (= leeg rack) in een datacentrum met stroom- en internetverzorging en verder niets. De derde partij is in dit geval echter de eigenaar van de ruimte en kan dus gaan knoeien met mijn servers. Is dit al toegang?

Door karma4: Ik zou je uitzondering zien bij het nutsdeel zoals internet. Daar heb je wel een mogelijk singel point of failure waar het singel point of contact een andere is.
Ik mag hopen dat het nutsdeel "Internet" inderdaad niet onder een verwerking valt. Anders moet elk bedrijf een verwerkersovereenkomst met haar ISP afsluiten. De ISP heeft immers toegang tot IP-adressen = persoonsgegevens.
02-02-2018, 19:48 door karma4
Door Anoniem:.....
Rackspace != cloud. Ik bedoelde enkel ruimte (= leeg rack) in een datacentrum met stroom- en internetverzorging en verder niets. De derde partij is in dit geval echter de eigenaar van de ruimte en kan dus gaan knoeien met mijn servers. Is dit al toegang? ...
Oeps sorry de grote cloudprovider op jouw on premise situatie geprojecteerd. Ik zie om die reden dat rackgebieden apart afsluitbaar zijn. Meer get gewone dat je voor de eigen apparatuur met de eigen verwerkingen nief ongecontroleerd toegang wil verlenen. Aangezien het in een fysiek afgeschermde ruimte staat hoeft de fysieke afscherming niet zo zwaar te zijn. Eigen datacenters zijn vaak extra zwaar afgeschermd en beveiligd.
23-06-2018, 12:59 door Anoniem
Door karma4:
Ik mag hopen dat het nutsdeel "Internet" inderdaad niet onder een verwerking valt. Anders moet elk bedrijf een verwerkersovereenkomst met haar ISP afsluiten. De ISP heeft immers toegang tot IP-adressen = persoonsgegevens.

Via deze vraag ben ik hier terecht gekomen... Ik werk voor een autogarage, en daar is zojuist een brief op de mat gevallen van de Ziggo, of wij een verwerkersovereenkomst willen afsluiten... Wij hebben een lokale database met auto en klant gegevens welk gebackupt word naar een externe locatie. Enige taak van Ziggo is om "het transport" te verzorgen... Zelf ben ik student, en kan ik redelijk meekomen met de redenaties en termen maar mijn collega's (lees monteurs en autoverkopers) snappen er helemaal niks van...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.