Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Strekt de AVG zover dat softwarepartijen verplicht zijn - in het kader van beveiligen van de continuïteit - een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname?
Antwoord: De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.
Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline back-up die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.
Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.
Het grote probleem met escrow is dat het daadwerkelijk uitvoeren pittig kan zijn: ga er maar aan staan om vanuit een broncodedepot een online dienst weer neer te zetten. Zat de database met gegevens bijvoorbeeld ook in het depot? Hoe oud was die databasedump dan eigenlijk?
Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.
Het maakt natuurlijk ook nog uit of het softwarebedrijf een verwerkingsverantwoordelijke is of een verwerker. Als dat laatste het geval is, dan zal de afnemer van de dienst meer stappen moeten nemen om zich tegen uitval van die verwerker te wapenen. Escrow of continuïteit ligt dan meer voor de hand.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.