image

Juridische vraag: Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

woensdag 24 oktober 2018, 15:39 door Arnoud Engelfriet, 22 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij staan als ICT-leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

Antwoord: De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)

Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En "volgens ons is het legaal, doe het!!!!" is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.

Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
24-10-2018, 15:59 door Anoniem
Bij de onderbouwing die je van de klant vraagt kan je vragen om een PIA, een privacy impact analyse waarin hij het belang van het bedrijf afweegt ten opzichte van het privacy belang van de medewerker
24-10-2018, 18:33 door Anoniem
Interessant casus. In principe is het toch zo dat de klant verantwoordelijk is voor de persoonsgegevens van zijn werknemers, en ervoor moet zorgen dat zij zelf, en ook alle leveranciers waaraan werk is uitbesteed, aan de AVG regels voldoen?
Dus als een klant de regels 'overtreedt' door bijvoorbeeld stelselmatig onbeschermd lijsten van werknemers via een e-mail te sturen, moet je dan de klant zeggen dat je niet meer met hem wilt werken? Of volstaat het met het wijzen op de plicht om dat soort lijsten beschermd te versturen? En als de klant dat niet doet, is dat zijn probleem.
Het kan nooit de bedoeling zijn van de AVG dat je een klant moet weigeren omdat deze niet AVG compliant is. Toch?
24-10-2018, 20:27 door Anoniem
Het wordt steeds complexer met de Cloud-act die 2 dagen voor de AVG in werking trad. Zie.
https://sos-cloudact.eu/

Reactie van de EU

N.a.v. de CLOUD Act dreigt de EU het Privacy Shield op te heffen als de VS niet voor 1 september 2018 voldoet aan de AVG. Als het Privacy Shield daadwerkelijk opgeheven wordt, betekent dit dat Europese bedrijven geen data meer kunnen uitwisselen met Amerikaanse partijen..
25-10-2018, 07:32 door Anoniem
Het voorbeeld is ook ongelukkig gekozen. Als de werkgever e.e.a. netjes heeft geregeld in gedragscodes en deze aan het personeel heeft uitgereikt, is het toegestaan om in mailboxen van werknemers te kijken. Deze zijn immers zakelijk en niet persoonlijk.
In goede verwerkersovereenkomsten staat ook een bepaling dat de verwerkingsverantwoordelijke ervoor dient te zorgen dat de instructies voor de verwerking voldoen aan wet- en regelgeving, dat de verwerker het moet signaleren als hij van mening is dat een instructie daar niet aan voldoet en deze pas hoeft uit te voeren als vaststaat dat deze wel aan de wet- en regelgeving voldoet (dan wel in die zin is aangepast).
25-10-2018, 09:15 door Arnoud Engelfriet
Door Anoniem: Interessant casus. In principe is het toch zo dat de klant verantwoordelijk is voor de persoonsgegevens van zijn werknemers, en ervoor moet zorgen dat zij zelf, en ook alle leveranciers waaraan werk is uitbesteed, aan de AVG regels voldoen?
Dat klopt, maar als leverancier heb je óók de plicht om daarop te letten. Je moet dus signaleren als er een instructie komt die tegen de AVG is (als het evident een schending is) en formeel moet je dan het werk staken totdat hier een goed argument dan wel een aanpassing tegen is gekomen.

Het kan nooit de bedoeling zijn van de AVG dat je een klant moet weigeren omdat deze niet AVG compliant is. Toch?
Waarom niet? Het kan nooit de bedoeling zijn dat klanten de AVG overtreden. Toch? Als jij weet van een wetsovertreding die jij gaat faciliteren dan behoor je dus in te grijpen.
25-10-2018, 09:32 door Anoniem
Antwoord: De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Is dit advies juridisch ? Gaat het niet eerder om de vraag ''wat is legaal'' dan ''wat voelt goed'' ?
25-10-2018, 09:34 door Anoniem
Het kan nooit de bedoeling zijn van de AVG dat je een klant moet weigeren omdat deze niet AVG compliant is. Toch?

Ehm. Dat is de vraag niet. De vraag is wat te doen, indien de klant je vraagt om de AVG te overtreden. En de wet overtreden, dan kan nooit de bedoeling zijn. Ongeacht of de klant wil dat je dat doet.

Zolang je er zelf niet bij betrokken bent, is er geen sprake van ketenaansprakelijkheid, en dan heb je er als leverancier weinig meer mee van doen (een organisatie zal ook nimmer verantwoording afleggen aan leveranciers over AVG compliancy, nergens voor nodig).
25-10-2018, 09:38 door Anoniem
Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

Bovenstaand voorbeeld is geen evidente wetsovertreding. En bij dit voorbeeld is AVG compliancy helemaal niet te bepalen. Het is de rol van de werkgever om dit verder te regelen met werknemers, en verantwoording richting leverancier is niet nodig. Indien de werkgever dit niet regelt, dan is deze de verantwoordelijke partij.

Immers ben je als leverancier geen controlerende organisatie, die de AVG compliancy of de interne processen van de klant controleert. Het is een ander verhaal indien je een opdracht krijgt waarbij evident de wet wordt overtreden.

Mijn collega's mogen, bij mijn afwezigheid, in mijn mailbox kijken. Hiervoor heb ik expliciete toestemming verleend. Echter is dit een issue tussen mij en werkgever. Niet mij, werkgever, en leverancier.
25-10-2018, 09:47 door Anoniem
Waarom niet? Het kan nooit de bedoeling zijn dat klanten de AVG overtreden. Toch?

Het hebben van een klant die de wet overtreedt is geen faciliteren van criminaliteit. Dan mag een banketbakker ook geen taart leveren aan een bank, die fraudeert bijvoorbeeld. Het is een probleem indien je als leverancier een rol speelt in een wetsovertreding.

Controle op AVG compliancy van klanten is ook geen taak van leveranciers, zolang ze zelf de wet niet overtreden.

Dat klopt, maar als leverancier heb je óók de plicht om daarop te letten. Je moet dus signaleren als er een instructie komt die tegen de AVG is (als het evident een schending is) en formeel moet je dan het werk staken totdat hier een goed argument dan wel een aanpassing tegen is gekomen.

In zoverre dat je de klant opmerkzaam kan maken op een mogelijke overtreding. Indien de klant stelt dat bijvoorbeeld het delen van mailboxen in policies is geregeld met medewerkers, en dat daarom de werkwijze AVG compliant is - dan is het niet aan jou als leverancier om te vragen om onderbouwend bewijsmateriaal.

Indien je je werk staakt, omdat je meent dat ze dit wel moeten doen, dan denk ik dat de klant al snel een andere leverancier gaat zoeken.
25-10-2018, 09:53 door Anoniem
Dus als een klant de regels 'overtreedt' door bijvoorbeeld stelselmatig onbeschermd lijsten van werknemers via een e-mail te sturen, moet je dan de klant zeggen dat je niet meer met hem wilt werken? Of volstaat het met het wijzen op de plicht om dat soort lijsten beschermd te versturen?

Dat hangt er vanaf of je doelstelling is om klanten te verliezen, danwel om je aan de wet te houden. Je klant zeggen dat je niet meer met hem wilt werken lijkt me niet echt slim, tenzij je je omzet wilt verminderen. Wijzen op de plicht lijkt mij een slimmere werkwijze.

Wil hij dat niet dan zou ik eerder zeggen dat je wil werken conform wettelijke verplichtingen waar je aan moet voldoen, dan dat je niet met hem wil werken. Is je doel een oplossing vinden, of een klant kwijtraken ? ;)
25-10-2018, 09:55 door Anoniem
Bij de onderbouwing die je van de klant vraagt kan je vragen om een PIA, een privacy impact analyse waarin hij het belang van het bedrijf afweegt ten opzichte van het privacy belang van de medewerker

Je kan schriftelijk vragen of er een PIA is. Zegt de klant dat dit geregeld is, dan is het zijn verantwoording en dan ben je verder als leverancier ingedekt. Wat je niet moet gaan vragen is inzage in de PIA. Je bent leverancier, en niet een controlerende instantie.
25-10-2018, 11:49 door Anoniem
Mooi theoretisch verhaal van een jurist, maar dit is de praktijk:

Klant: Ik wil toegang tot de mailbox van Personeelslid XXXX
IT-leverancier: Ja, maar AVG / Privacy / etc...
Klant: Niks mee te maken, mijn spul., mijn netwerk, mijn bedrijf, mijn personeel.
IT-leverancier: Ja, maar mag niet etc.
Klant: Of jij doet het, of ik ga naar een ander.
25-10-2018, 12:10 door Anoniem
Door Anoniem:
Bij de onderbouwing die je van de klant vraagt kan je vragen om een PIA, een privacy impact analyse waarin hij het belang van het bedrijf afweegt ten opzichte van het privacy belang van de medewerker

Je kan schriftelijk vragen of er een PIA is. Zegt de klant dat dit geregeld is, dan is het zijn verantwoording en dan ben je verder als leverancier ingedekt. Wat je niet moet gaan vragen is inzage in de PIA. Je bent leverancier, en niet een controlerende instantie.

Dit is geen oplossing. PIA is enkel verplicht voor specifiek benoemde, risicovolle verwerkingen. Zie website van de AP. Valt de verwerking hier niet onder dan zal er ook geen PIA zijn.
25-10-2018, 12:43 door Anoniem
Mooi theoretisch verhaal van een jurist, maar dit is de praktijk:

Klant: Ik wil toegang tot de mailbox van Personeelslid XXXX
IT-leverancier: Ja, maar AVG / Privacy / etc...
Klant: Niks mee te maken, mijn spul., mijn netwerk, mijn bedrijf, mijn personeel.
IT-leverancier: Ja, maar mag niet etc.
Klant: Of jij doet het, of ik ga naar een ander.

Zowel in theorie, als ook in praktijk, moet je je aan de wet houden. Verder is het aan de klant om AVG technisch de zaken goed op orde te hebben. Indien de klant zegt dat het geen probleem is, en dat dat verder geregeld is, heb je daar als leverancier verder weinig mee te maken. Aan je zorgplicht heb je voldaan.

Als leverancier heb je geen recht, laat staan plicht, de policies en procedures van je klanten te screenen.
25-10-2018, 13:54 door Anoniem
Iemand er ooit aan gedacht dat onder de AVG in het geval van een overtreding zowel de verwerkingsverantwoordelijke als de verwerker aansprakelijk gesteld kunnen worden? Als verwerker kun je net zo makkelijk (mede)aansprakelijk worden gesteld als de verwerkingsverantwoordelijke.

Als je jezelf als partij als verwerkingsverantwoordelijke hebt gepositioneerd dan is het helemaal lastig en gaat het verweer van "het moest van mijn klant" helemaal niet op...
25-10-2018, 16:02 door Arnoud Engelfriet
Door Anoniem: Controle op AVG compliancy van klanten is ook geen taak van leveranciers, zolang ze zelf de wet niet overtreden.
Dat is wél een taak van leveranciers die als verwerker optreden, artikel 28 lid 3 AVG: ".. stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming."

In zoverre dat je de klant opmerkzaam kan maken op een mogelijke overtreding. Indien de klant stelt dat bijvoorbeeld het delen van mailboxen in policies is geregeld met medewerkers, en dat daarom de werkwijze AVG compliant is - dan is het niet aan jou als leverancier om te vragen om onderbouwend bewijsmateriaal.
Het ligt ergens in het midden. Als de klant alleen zegt "nope wij hebben policies" dan zou ik dat echt te weinig vinden. Maar inzage in al die policies en extern juridisch advies inkopen of het wel goed gaat, dat vind ik weer te veel moeite.

Klant: Ik wil toegang tot de mailbox van Personeelslid XXXX
IT-leverancier: Ja, maar AVG / Privacy / etc...
Klant: Niks mee te maken, mijn spul., mijn netwerk, mijn bedrijf, mijn personeel.
IT-leverancier: Ja, maar mag niet etc.
Klant: Of jij doet het, of ik ga naar een ander.
IT-leverancier z'n jurist: U pleegt contractbreuk door zonder grond op te zeggen en daarbij ons te dwingen de wet én de overeenkomst te overtreden. Wij zijn (zie artikel 12.8 contract en artikel 28.3 AVG) verplicht u erop te wijzen wanneer instructies in kennelijk strijd met de wet zijn. U heeft daar niet inhoudelijk op gereageerd, dus erkent u dat de instructies in strijd zijn met de wet. Uw opzegging is buitenwettelijk en wordt niet erkend. Prettige dag nog.
25-10-2018, 21:14 door Anoniem
Door Arnoud Engelfriet: Het kan nooit de bedoeling zijn dat klanten de AVG overtreden. Toch? Als jij weet van een wetsovertreding die jij gaat faciliteren dan behoor je dus in te grijpen.

Dat is in Nederland niet de gangbare mentaliteit. Heel veel Nederlanders vinden dat je je als burger er niet mee moet bemoeien wat een andere burger voor wetsovertredingen begaat. Laat staan ingrijpen: dan ben je al snel een "NSB'er".
Kennelijk heeft "de oorlog" op dit gebied diepe sporen achter gelaten. Zelfs zaken als "het niet mogen oppakken van iemand als er bij een controle om reden 1 een overtreding van regel 2 geconstateerd wordt" dat komt uit die hoek.

Ik denk dat je bij overtredingen die niet in de categorie levensdelicten en andere ernstige delicten vallen, waarbij het verplicht is, niet veel mensen gaat vinden die "een ander gaan verlinken" zoals het dan al gauw heet.
Dat het in de groep bezoekers van dit forum misschien anders ligt zegt niet veel, want dat is geen representatieve doorsnede van de samenleving.
26-10-2018, 00:32 door Anoniem
Ik denk dat er een verschil is tussen kennis van misdrijven hebben en het opmerken van administratieve missers of overtredingen. Als ik weet dat iemand een bankroof aan het plannen is, of iets in die orde, dan ben ik verplicht dat te melden. Maar als ik zie dat iemand 5 kilometer te hard rijdt of ergens even stiekem staat te wildplassen, dan geloof ik niet dat ik er later op aangesproken kan worden dat ik dat niet meteen verklikt heb of anders misschien als medeplichtige gezien kan worden.

De AVG/GDPR is volgens mijn civiel recht. Er staan enkel boetes op (al kunnen die flink oplopen) maar geen gevangenisstraffen (anders had echt in mei heel je Google en Facebook niet meer gewerkt!). Dus ook als ik mogelijk vermoed dat iemand van plan is om te gaan privacyschenden, dan mag ik daar volgens mij gewoon USB sticks en harde schijven aan verkopen en ook nog helpen om die te installeren. Ofwel faciliteren. Denk ik juridisch dan. De boete blijft enkel voor de feitelijke privacyschender. Heel iets anders dan iemand aan een pistool helpen terwijl je weet wat hij ermee van plan is.

Het lijkt me eerder een moreel dan juridisch dilemma.
26-10-2018, 06:05 door Anoniem
Door Anoniem: Dat is in Nederland niet de gangbare mentaliteit. Heel veel Nederlanders vinden dat je je als burger er niet mee moet bemoeien wat een andere burger voor wetsovertredingen begaat. Laat staan ingrijpen: dan ben je al snel een "NSB'er".
Ja, die mensen zijn er, maar dat is volgens mij niet de mentaliteit die gangbaar is in Nederland maar de mentaliteit die gangbaar is onder een deel van de Nederlanders. Er zijn ook heel wat Nederlanders die beschaafder reageren en er zijn er ook heel wat die wel vinden dat ze zich aan wetten moeten houden. En die mensen onderling komen niet uit op "een ander verlinken" omdat ze als ze op een overtreding gewezen zich niet aangevallen voelen maar schrikken van hun fout en die willen corrigeren. Zulke mensen zijn er gelukkig ook volop.
26-10-2018, 11:23 door Anoniem
Fijn leesvoer Arnoud!
26-10-2018, 16:01 door karma4
Door Arnoud Engelfriet:
IT-leverancier z'n jurist: U pleegt contractbreuk door zonder grond op te zeggen en daarbij ons te dwingen de wet én de overeenkomst te overtreden. Wij zijn (zie artikel 12.8 contract en artikel 28.3 AVG) verplicht u erop te wijzen wanneer instructies in kennelijk strijd met de wet zijn. U heeft daar niet inhoudelijk op gereageerd, dus erkent u dat de instructies in strijd zijn met de wet. Uw opzegging is buitenwettelijk en wordt niet erkend. Prettige dag nog.
Prachtig antwoord Arnoud, niets mis mee.
Helaas zijn de juridische afdelingen bij bedrijven (oa procurement) niet zo sterk. Met een afhankelijke situatie of andere belangen wordt het niet altijd zo ethische afgehandeld zoals jij voorstaat.
26-10-2018, 16:39 door Anoniem
Twee leuke oude paleizen om te bezoeken. Topkapi in Istanbul en het Winterpaleis in Sint Petersburg. Zowel Catharina de Grote als de Sultans van de Ottomanen hadden een kraantje of een waterval in huis. Zodat er aan de deur niks afgeluisterd kon worden wegens het geklater van het water.

Op straffe van waar gaat dit over, gelijk maar even de uitleg. Heel veel van waar we ons druk om maken hier is absoluut niet nieuw. Ook nepnieuws en trollen niet. Of afluisteren. Ook de manieren om je ertegen te beschermen zijn niet nieuw. Het heeft ook al lang zijn weg gevonden in het recht. En juridische consequenties voor het slodig zijn met informatie. Wat tegenwoordig wat ongeschoold met data wordt verward. In de veronderstelling dat alles wat electrisch is, iets met een stekker eraan, moderner is. En dat al die oude regeltjes niet meer gelden. Want er zitten drie gekleurde leds op. En die knipperen.

In het recht zie je ook dat manco. Het is nog steeds een wetenschap. Al merk je daar vaak bar weinig van zodra ze een kostuum, een stropdas en een kantoor hebben.

Het recht komt voort uit rechtsgevoel. Zit je gevoel goed, dan heb je in principe geen jurist nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.