Privacy - Wat niemand over je mag weten

AVG en namen van werknemers

19-03-2019, 10:13 door tek_h, 19 reacties
Is een service provider die financiele tech services host aan andere bedrijven verplicht namen van zijn werknemers door te geven aan een klant die zijn eigen audit assessment m.b.t. autorisatie op het afgenomen platform wil afronden?

Een service provider moet, naar mijn mening, verplicht meewerken aan klant audits, mits die door de klant is opgenomen in het contract ("right to audit"), maar ik kan mij niet voorstellen dat de AVG het afstaan van werkgever informatie aan derden verplicht.

Graag advies.
Reacties (19)
19-03-2019, 12:33 door Anoniem
Als het nodig is om de namen door te geven voor het goed uitvoeren van de audit dan is dit toegestaan onder de GDPR.
Mogelijke juridische basis: contractuele verplichting, wettelijke verplichting, gerechtvaardigd belang.
De verstrekking dient wel zo beperkt mogelijk plaats te vinden. Het doorgeven van de naam en functie van een database beheerder of support engineer valt te rechtvaardigen, de doorgifte van de naam van het kantinepersoneel niet.
Verder kan de verstrekking nog ingeperkt worden door pseudonimisatie: bijvoorbeeld door in logfiles of audittabellen niet de naam maar een userID te loggen.
19-03-2019, 12:46 door karma4
Een vraag met wat tegengestelde eisen vanuit de AVG.

De AVG heeft het over een verwerkingsverantwoordelijke en een verwerker. Aangezien de verwerkingsverantwoordelijke de verantwoordelijkheid heeft ook al wordt het uitbesteed heeft hij ook de taak om zich te vergewissen dat de verwerker het werk doet zoals afgesproken. Hij kan dat doortrekken naar een onderbouwing van antecedenten voor degenen die het werk doen.

Als de service provider het werk doet op de locatie van de verwerkingsverantwoordelijke met de rechten in beheer en onder controle va de verwerkingsverantwoordelijke wordt dat nog sterker.

Artiekl 24 , 28 onder hoofdstukt IV.

https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
Artikel 24
Verantwoordelijkheid van de verwerkingsverantwoordelijke
1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
19-03-2019, 12:56 door Anoniem
Hoe is dat gegaan dan?
Zo van "en als u er zelf niet helemaal uit komt, mag u altijd contact opnemen met Piet Post die bij ons werkt om u bij te staan?"
19-03-2019, 13:38 door MathFox
Een service provider heeft tegenstrijdige verplichtingen. Hij moet meewerken aan een audit (als dat een contractuele verplichting is), maar moet ook de privacy van zijn personeel beschermen. Geen van beide verplichtingen is absoluut, dus het is volledig terecht dat een service provider aan de auditor vraagt waarom die bepaalde persoonsggevens nodig heeft en of het niet met minder kan. Ik zie in eerste instantie niet in waarom de auditor meer zou moeten hebben dan een lijst van de gebruikersnamen van de (ex-)medewerkers die geautoriseerd waren om voor de betreffende klant werkzaamheden te verrichten.
19-03-2019, 13:47 door Anoniem
Door Anoniem: Als het nodig is om de namen door te geven voor het goed uitvoeren van de audit dan is dit toegestaan onder de GDPR.
Mogelijke juridische basis: contractuele verplichting, wettelijke verplichting, gerechtvaardigd belang.

Ehm, niet helemaal. Dat gaat slechts over de overeenkomst tussen werknemer en werkgever en wettelijke verplichtingen die daarbij komen kijken. Een contractuele verplichting tussen de werkgever en een derde partij is niet zomaar een gerechtvaardigd belang.
Als de derde partij een wettelijke verplichting heeft jou als werknemer van een leverancier te auditen, dan mag dat. Maar dat moet men kunnen aantonen. Dus kun je gerust als werknemer vragen naar de grondslag voor deze verstrekking van persoonsgegevens.

Nog iets wat van belang is, is dat er een chain of responsibility is, d.w.z. jouw werkgever heeft eigen verantwoordelijkheden en als de afnemer daar garanties voor wil kan er een overeenkomst met garanties worden gemaakt.

Ik zie hier geen basis voor een verwerkingsovereenkomst, aangezien het hier niet om een belang gaat van de werkgever maar van een klant van de werkgever.
19-03-2019, 15:08 door karma4
Door Anoniem: ...
Ik zie hier geen basis voor een verwerkingsovereenkomst, aangezien het hier niet om een belang gaat van de werkgever maar van een klant van de werkgever.
Die klant is de verwerkingsverantwoordelijke en die heeft wel degelijk een wettelijk belang. Opgedragen vanuit de AVG.
19-03-2019, 19:39 door MathFox
Door karma4:
Door Anoniem: ...
Ik zie hier geen basis voor een verwerkingsovereenkomst, aangezien het hier niet om een belang gaat van de werkgever maar van een klant van de werkgever.
Die klant is de verwerkingsverantwoordelijke en die heeft wel degelijk een wettelijk belang. Opgedragen vanuit de AVG.
Hoe ver gaat dan de verplichting van de leverancier? Moet hij de personeelsdossiers van al zijn medewerkers ter inzage geven omdat de auditor van een lullig klantje daarom vraagt? Dat mag hij als verwerkingsverantwoordelijke voor zijn personeelsdossiers niet van de AVG.
En als de klant meer vraagt dan de leverancier heeft toegezegd te leveren... heeft de klant problemen met zijn auditor!
19-03-2019, 20:30 door karma4
Door MathFox: Die klant is de verwerkingsverantwoordelijke en die heeft wel degelijk een wettelijk belang. Opgedragen vanuit de AVG.
Hoe ver gaat dan de verplichting van de leverancier? Moet hij de personeelsdossiers van al zijn medewerkers ter inzage geven omdat de auditor van een lullig klantje daarom vraagt? Dat mag hij als verwerkingsverantwoordelijke voor zijn personeelsdossiers niet van de AVG.
En als de klant meer vraagt dan de leverancier heeft toegezegd te leveren... heeft de klant problemen met zijn auditor![/quote]Het gaat NIET om de personeelsdossiers, dat haal jij er ongenuanceerd bij. Dat is te ver.

Wat zou kunnen is de namen met de kwalificaties van de personen welk activiteiten bij de verwerker voor de verwerkingsverantwoordelijke uitvoeren. Daarvoor heb in de AVG de wettelijke verplichtingen opgelegd gekregen.
Het is compleet juist dat een verwerker zich niet meer kan en niet meer mag verschuilen achter zijn eigen bedrijf en eigen privacy. De verwerker / leverancier is namelijk niet de verwerkingsverantwoordelijke.

Dit soort zaken https://www.security.nl/posting/471056/Ziekenhuizen+schenden+privacy+met+digitaliseren+patiëntdossiers Moet je als ziekenhuis waar de verwerkingsverantwoording ligt niet willen. Het lullige klantje ziekenhuis bij dat Belgische scanbedrijf als verwerker gewoon eigen keuzes laten maken? Je ziet hoe ongecontroleerd fout zoiets kan gaan (kwestie van geld).

Bij aanbestedingen wordt heel vaak gevraagd om aan te tonen dat er zoveel mensen met die en die kwaliteiten in het betreffende perceel zitten. Als voorbeeld: https://www.vngrealisatie.nl/sites/default/files/2018-09/Beschrijvend%20Document%20GGI%20Veilig%201.3%20definitief.pdf kijk even bij 7.4 gunningseisen, de cv's van de in te huren personen worden door de verwerkingsverantwoordelijke bekeken een vog en het recht om in Nederland te werken horen daarbij. Uiteindelijke is de opdrachtgever verwerkingsverantwoordelijke ook aansprakelijk als daar wat bij de verwerker / dienstverlener iets fouts gebeurt.
19-03-2019, 20:50 door Anoniem
Niet aan meewerken. Simpel.

Als een klant audits wil doen, dan moet ie dat maar doen met de gegevens die hij heeft. Het is een smoes-woord. Audit. Als de volgende klant onder een audit verhaal ook nog kopietjes van ID kaarten gaat vragen, wat doe je dan? Je hoeft trouwens als Nederlander helemaal niet te weten wat een audit is. Engelse poeha. Het juiste Nederlandse woord is onderzoek. En dat houdt op bij je deurmat. Of ze nou je personeelsbestand willen zien of je zwarte kas even willen natellen. Kopje koffie, lachen, vragen of de klant tevreden is, en de rest gaat hem niks aan. Om "ons moverende redenen", of "als te doen gebruikelijk".

Zo ging dat vroeger, en ik kan me met de komst van de computer niet indenken waarom dat ineens anders zou moeten gaan. Als ze anders beter en goedkoper konden kopen, dan kwamen ze niet, of niettan. Ophoepelen met die "audit". And may the force be with you.
19-03-2019, 21:36 door MathFox - Bijgewerkt: 19-03-2019, 21:37
Door karma4:
Wat zou kunnen is de namen met de kwalificaties van de personen welk activiteiten bij de verwerker voor de verwerkingsverantwoordelijke uitvoeren. Daarvoor heb in de AVG de wettelijke verplichtingen opgelegd gekregen.
Het is compleet juist dat een verwerker zich niet meer kan en niet meer mag verschuilen achter zijn eigen bedrijf en eigen privacy. De verwerker / leverancier is namelijk niet de verwerkingsverantwoordelijke.
Dan heeft de auditor dus een aantal specifieke vragen, gerelateerd aan contractuele verplichtingen van de leverancier aan zijn klant. Daar moet je als leverancier op antwoorden. De auditor moet zijn vragen wel beperken tot hetgeen hij nodig heeft om te controleren of aan de verwerkingseisen voldaan wordt en de leverancier mag/moet hem daarop aanspreken om de privacy van zijn personeel te beschermen.

En wat doe je met: Klant heeft een standaard-hosting pakket, dan garanderen we alleen de beschikbaarheid en ondersteunen we geen auditors. In ons trusted-hosting pakket ondersteunen we wel auditors en garanderen we dat alleen gescreend personeel bij de data kan, maar dat pakket is duurder! :)
19-03-2019, 21:52 door karma4 - Bijgewerkt: 19-03-2019, 21:58
Door MathFox: ...
En wat doe je met: Klant heeft een standaard-hosting pakket, dan garanderen we alleen de beschikbaarheid en ondersteunen we geen auditors. In ons trusted-hosting pakket ondersteunen we wel auditors en garanderen we dat alleen gescreend personeel bij de data kan, maar dat pakket is duurder! :)

1/ De klant heeft een duidelijke keus voor een standaard-hosting pakket gemaakt..
Op dat moment van zijn keuze had hij naar zijn eigen verantwoordelijkheden moeten kijken. Achteraf kan hij zich niet meer een andere doelstelling beroepen. De consequentie is dat hij zijn hele eigen aanbesteding moet herzien. Kostbaar voor hem, maar dat is een gevolg van zijn eigen keus.

2/ De klant heeft een trusted hosting pakket gekozen met de acceptatie van de voorwaarden van de leverancier.
Ook daar heb een duidelijke gemaakte keus van de verwerkingsverantwoordelijke. Als die keus niet goed is dan moet hij dat zelf oplossen.

Er zijn nog wat flaters in die zelfde hoek. https://www.nu.nl/brexit/5752929/europees-geneesmiddelenbureau-komt-niet-onder-londens-huurcontract-uit.html huurcontract voor 20 jaar omdat het dan goedkoper is. Britten gaan toch niet uit de EU, auw.

De vraag van TS kan twee kanten uitgaan.
a/ Het was onderdeel van een beschreven aanbesteding waarbij later de inhuur en onderaanbesteding plaats vond.
Audit terecht als kan het tussen de leverancier en onderaannemer niet goed zitten.
b/ De eerste aanbesteding kende geen voorwaarden of wat dan ook, de keus bij de verwerkingsverantwoordelijke was kennelijk geheel korter termijn zonder enige onderbouwing. Dan wort een audit vraag wel lastig.
19-03-2019, 22:20 door karma4
Door Anoniem: Niet aan meewerken. Simpel.
….. Het juiste Nederlandse woord is onderzoek. En dat houdt op bij je deurmat. Of ze nou je personeelsbestand willen zien of je zwarte kas even willen natellen. Kopje koffie, lachen, vragen of de klant tevreden is, en de rest gaat hem niks aan. Om "ons moverende redenen", of "als te doen gebruikelijk".

Zo ging dat vroeger, en ik kan me met de komst van de computer niet indenken waarom dat ineens anders zou moeten gaan. Als ze anders beter en goedkoper konden kopen, dan kwamen ze niet, of niettan. Ophoepelen met die "audit". And may the force be with you.

Probeer het eens met de controle van de arbeidsinspectie FIOD warenautoriteit. Dikke kans dat de deur met geweld open gaat en daarna voor jou verzegeld raakt.
20-03-2019, 00:33 door Anoniem
Door MathFox:
Door karma4:
Door Anoniem: ...
Ik zie hier geen basis voor een verwerkingsovereenkomst, aangezien het hier niet om een belang gaat van de werkgever maar van een klant van de werkgever.
Die klant is de verwerkingsverantwoordelijke en die heeft wel degelijk een wettelijk belang. Opgedragen vanuit de AVG.
Hoe ver gaat dan de verplichting van de leverancier? Moet hij de personeelsdossiers van al zijn medewerkers ter inzage geven omdat de auditor van een lullig klantje daarom vraagt? Dat mag hij als verwerkingsverantwoordelijke voor zijn personeelsdossiers niet van de AVG.
En als de klant meer vraagt dan de leverancier heeft toegezegd te leveren... heeft de klant problemen met zijn auditor!

Kijk even wie de poster is voordat je het serieus neemt. Er is geen "wettelijk belang", en een klant is uiteraard geen verwerkingsverantwoordelijke over de gegevens van werknemers van een leverancier. Complete onzin.
20-03-2019, 05:51 door Anoniem
Door karma4:
Door Anoniem: Niet aan meewerken. Simpel.
….. Het juiste Nederlandse woord is onderzoek. En dat houdt op bij je deurmat. Of ze nou je personeelsbestand willen zien of je zwarte kas even willen natellen. Kopje koffie, lachen, vragen of de klant tevreden is, en de rest gaat hem niks aan. Om "ons moverende redenen", of "als te doen gebruikelijk".

Zo ging dat vroeger, en ik kan me met de komst van de computer niet indenken waarom dat ineens anders zou moeten gaan. Als ze anders beter en goedkoper konden kopen, dan kwamen ze niet, of niettan. Ophoepelen met die "audit". And may the force be with you.

Probeer het eens met de controle van de arbeidsinspectie FIOD warenautoriteit. Dikke kans dat de deur met geweld open gaat en daarna voor jou verzegeld raakt.

Meegemaakt. En deur open, want opsporingsbevoegd is opsporingsbevoegd. Jij niet he? Ik wel. Aan het hele team nog steeds goeie herinneringen. En eeuwig respect want in heel die gebouwen met ambtenaren zitten er hier en daar echte professionals. Correct tot op de nanometer. Best verwarrend als zoiets gebeurt, want enerzijds trekken ze je broek af, en anderzijds zo indrukwekkend hoe ze dat doen. Je zou het zelf eens moeten meemaken. Zolang je maar te goeder trouw bent dan.

Veel succes met je Xbox games verder.
20-03-2019, 11:31 door Anoniem
Door Anoniem: En eeuwig respect want in heel die gebouwen met ambtenaren zitten er hier en daar echte professionals.
Toch wel mooi dat je "eeuwig respect" krijgt omdat er af en toe een goede appel tussen de rotte moes zit.
20-03-2019, 14:37 door Anoniem
De AVG zegt dat de verwerker bijstand moet verlenen bij inspecties en audits etc... Je zult afspraken moeten maken met de verwerkingsverantwoordelijke hoe deze bijstand vorm wordt gegeven. Tot nu toe denk ik dat je de namen van de verwerkers niet op mag lepelen als dit niet relevant is voor de inspectie / audit. De medewerkers moeten voordien ingelicht worden en kunnen zelfs in verweer komen tegen het verstrekken van deze gegevens. Het klinkt vervolgens logisch dat de verstandhouding hier mogelijk door beschadigt.
Als de verwerkingsverantwoordelijke de namen van de verwerkers van de verwerkende partij gaat opvragen dan zit er iets mis in de verwerkingsovereenkomst denk ik. dan doel ik m.n. op Art. 28.3.b en c
20-03-2019, 15:42 door karma4
Door Anoniem: ...En eeuwig respect want in heel die gebouwen met ambtenaren zitten er hier en daar echte professionals. Correct tot op de nanometer. Best verwarrend als zoiets gebeurt, want enerzijds trekken ze je broek af, en anderzijds zo indrukwekkend hoe ze dat doen. Je zou het zelf eens moeten meemaken....
.

Niet alle zijn correct tot op de nanameter, we de meeste. En die Xbox kun je laten zitten. Wat ik meegemaakt heb is vele malen leuker dan zo'n spelletje. Vele malen een politieke game of thrones in het echt met alles er om heen terwijl van alles doorloopt en doorgaat.
20-03-2019, 20:53 door Anoniem
Door karma4:
Door Anoniem: ...En eeuwig respect want in heel die gebouwen met ambtenaren zitten er hier en daar echte professionals. Correct tot op de nanometer. Best verwarrend als zoiets gebeurt, want enerzijds trekken ze je broek af, en anderzijds zo indrukwekkend hoe ze dat doen. Je zou het zelf eens moeten meemaken....
.

Niet alle zijn correct tot op de nanameter, we de meeste. En die Xbox kun je laten zitten. Wat ik meegemaakt heb is vele malen leuker dan zo'n spelletje. Vele malen een politieke game of thrones in het echt met alles er om heen terwijl van alles doorloopt en doorgaat.

Klinkt interessant... ik schrijf me in.
26-03-2019, 17:15 door Anoniem
Wat grappig. Ik mis in de hele discussie de vraag waarom men de namen wil. Het zal vaak blijken dat dit soort zaken gevraagd worden omdat het een oplossing is voor iets dat men bedacht heeft. Pas als je het doel helder hebt. kan bepaald worden of er een rechtvaardiging is en of het doel niet gehaald kan worden met minder gegevens.

Er is dus niet direct een antwoord te geven op basis van het onbekende.

Ik kan me overigens niet voorstellen dat er een situatie is, anders dan gegevens van contactpersonen, tussen een verantwoordelijke en verwerker waarbij personeelsgegevens uitgewisseld moeten worden. Het zal vrijwel altijd gaan om rechtspersonen die verklaringen kunnen afgeven. Ter plaatse kan een auditor controleren bijvoorbeeld door een steekproef. Dataoverdracht lijkt mij altijd te groot.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.