image

Verplicht de AVG een software-bedrijf ook na een overname of faillissement persoonsgegevens beschikbaar te houden?

woensdag 18 november 2020, 16:12 door Arnoud Engelfriet, 3 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Strekt de AVG zover dat softwarepartijen verplicht zijn - in het kader van beveiligen van de continuïteit - een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname?

Antwoord: De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline back-up die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Het grote probleem met escrow is dat het daadwerkelijk uitvoeren pittig kan zijn: ga er maar aan staan om vanuit een broncodedepot een online dienst weer neer te zetten. Zat de database met gegevens bijvoorbeeld ook in het depot? Hoe oud was die databasedump dan eigenlijk?

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Het maakt natuurlijk ook nog uit of het softwarebedrijf een verwerkingsverantwoordelijke is of een verwerker. Als dat laatste het geval is, dan zal de afnemer van de dienst meer stappen moeten nemen om zich tegen uitval van die verwerker te wapenen. Escrow of continuïteit ligt dan meer voor de hand.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (3)
18-11-2020, 16:46 door Anoniem
Wat dan als een bedrijf over persoonsgegevens van mij beschikt en het wordt overgenomen door een ander bedrijf.
Gaan dan mijn persoonsgegevens automatisch mee over naar de nieuwe eigenaar of moet de nieuwe eigenaar eerst weer mijn toestemming vragen voordat deze gebruikt mogen worden?
18-11-2020, 22:11 door MathFox
Door Anoniem: Wat dan als een bedrijf over persoonsgegevens van mij beschikt en het wordt overgenomen door een ander bedrijf.
Gaan dan mijn persoonsgegevens automatisch mee over naar de nieuwe eigenaar of moet de nieuwe eigenaar eerst weer mijn toestemming vragen voordat deze gebruikt mogen worden?
Bij een volledige bedrijfsovername gaan alle rechten, bezittingen en verplichtingen over op de nieuwe eigenaar. Jouw persoonsgegevens gaan naar de nieuwe eigenaar, die er hetzelfde mee mag als de oude eigenaar mocht. (De oude eigenaar mag na de overname jouw gegevens niet meer hebben.)
Als het gebruik van jouw persoonsgegevens gebaseerd is op toestemming, mag je die intrekken. Als er een andere grondslag voor het gebruik is (uitvoering overeenkomst) dan kan het bedrijf jouw gegevens blijven gebruiken (zolang de belastingdienst eist).
20-11-2020, 10:17 door InformationSecureNL
Welke contractvorm is irrelevant vanuit oogpunt van AVG. Het gaat hier om rechtmatigheid van verwerking van persoonsgegevens op grond van het uitvoeren van een overeenkomst (escrow of niet). AVG Artikel 6.1 lid B.

AVG verplicht op geen enkele wijze tot continuïteit van een overeenkomst bij faillissement voor het verwerken van persoonsgegevens. AVG heeft als scope de veilige verwerking van persoonsgegevens en niet bedrijfscontinuïteit op zichzelf zoals hier wordt gesuggereerd.

En als een bedrijf failliet gaat dan moet het nieuwe bedrijf opnieuw toestemming vragen aan de klant voor het verwerken van diens persoonsgegevens. Tenzij er in het contract met voorgaande, failliete partij, is overeengekomen dat uit oogpunt van bedrijfscontinuïteit deze persoonsgegevens worden meegnomen naar het nieuwe bedrijf voor verwerking in het continueren van de uitvoering van een overeenkomst. Uit oogpunt van transparantie AVG Artikel 12 dient de klant, als natuurlijk persoon, geïnformeerd te zijn over wat er met zijn/haar persoonsgegevens gebeurd na faillisement. Vooraf dient de klant te zijn geïnformeerd.Ook dient er toestemming te zijn verkregen voor het verwerken van persoonsgegevens. AVG Artikel 7.

Als contract door faillissement eindigt dan kan er nog een wettelijke bewaartermijn rusten op de persoonsgegevens. De vraag is of een failliet bedrijf dan uitvoering kan geven aan de bewaartermijn in het kader van bijvoorbeeld justitieel onderzoek en lopende rechtzaken tegen failliet bedrijf. Hierop is eveneens Artikel 17.3 AVG van toepassing.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.