Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik ben directeur van een softwareontwikkelbedrijf en wil mijn mensen toestaan op een werkvakantie (“workation”) te gaan. De locatie kan Mexico zijn, maar dat schijnt AVG-technisch ingewikkeld te worden. Wat zijn de regels met laptopwerk in het buitenland? We hebben VPN verbindingen als dat uitmaakt.
Antwoord: Een workation is een vrij nieuw fenomeen waarbij mensen vanaf een vakantielocatie gaan werken, en dat combineren met vakantievieren. Dit begint populair te worden, maar het roept ook vragen op.
Onder de AVG is werken vanaf een vakantielocatie niet anders dan andere vormen van werken op afstand. De regels zijn dus nog steeds simpel: persoonsgegevens mogen niet naar buiten de Europese Economische Ruimte, tenzij het land adequaat is verklaard. Mexico staat daar niet op dus het wordt Argentinië of Japan dan, als je het simpel wilt houden.
En ja, je exporteert persoonsgegevens (“draagt over”) in de zin van de AVG als je een laptop met die dingen naar een vakantieland meeneemt, of als je vanuit dat vakantieland jezelf toegang verschaft tot de gegevens. Ook als je alleen maar via een remote tool toegang hebt en de server in Nederland staat. Je kunt ze zien in Mexico, dan zijn ze geëxporteerd naar Mexico.
Juridisch speelt dan nog wel de vraag of sprake is van overdracht wanneer de persoonsgegevens feitelijk het bedrijf niet verlaten. Een werknemer die persoonsgegevens krijgt, doet dat namens het bedrijf en niet op persoonlijke titel. De samenwerkende AVG-toezichthouders menen dat deze situatie géén vorm van overdracht is wanneer het gaat om een werknemer (pdf).
Als je tijdens je werk de toegang tot persoonsgegevens weet te vermijden, dan speelt dit natuurlijk niet. Bij een softwareontwikkelaar kán ik me daar wat bij voorstellen, al blijf je altijd zitten met zaken als accounts van anderen, teamoverleg via chatdiensten en mailtjes met verzoeken. Formeel bekeken is dat dus niet mogelijk zonder de werknemer alle toegang tot werk-accounts en dergelijke te ontzeggen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.