Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik ben een eenmansbedrijf dat software maakt voor kassasystemen. Ik heb een klant die vasthoudt aan een legacy systeem van mij, waar persoonsgegevens in zitten. Ik kan echt niet meer 100% instaan dat dit veilig is gezien de leeftijd van het systeem, maar deze klant wil het persé aanhouden en alle risico’s dragen. Kan ik op een of andere manier alle AVG-risico’s bij de klant leggen, of kan dit niet en zit er niets anders op dan het systeem echt af te sluiten?
Antwoord: De eerste wedervraag die hierbij moet worden beantwoord, is of deze software wordt ingezet als on-premise software (dus op kassasystemen bij de klant) dan wel als SaaS-dienst (via terminals bij de klant).
Bij een on-site applicatie kun je de verantwoordelijkheid een heel eind verleggen. Dat kan alleen niet simpelweg met je algemene voorwaarden zoals veel ontwikkelaars denken. Je hebt als ontwikkelaar namelijk een zorgplicht, die meebrengt dat je niet willens en wetens een applicatie levert die evident in strijd met de AVG functioneert. Natuurlijk kan de klant van alles afstellen, maar als het systeem fundamenteel onveilig is dan is het moeilijk te rechtvaardigen dat je dit blijft leveren.
De enige manier waarop dit mogelijk nog kan, is met een expliciete verklaring waarin je uitlegt welke AVG-risico's er aan zitten, waarom jij die niet kan of wil herstellen en dat je klant bereid is alle gevolgen daarvan te dragen. Je laat de klant die dan tekenen. Als die ermee akkoord gaat natuurlijk: als hij zó expliciet in het gezicht krijgt dat er fundamentele problemen (met hoge boetes als ultieme consequentie) aan zitten, is de kans groot dat hij zich bedenkt en toch over wil stappen.
Bij SaaS ben jij als dienstverlener verwerker van die persoonsgegevens, en de AVG bepaalt apart dat ook jij aansprakelijk bent naar betrokkenen toe en dat jij apart beboet kan worden door de AP als het systeem niet adequaat is. Dat kun je niet verleggen met een contract. Dus dan is het ook vanuit je eigen perspectief belangrijk dat je die software of uitfaseert of alsnog AVG compliant maakt.
Het beste dat je bij SaaS kunt doen is afspreken dat de klant je vrijwaart van eventuele boetes en claims. Dat betekent dan nog steeds dat jij ze moet betalen, maar je mag je dan omdraaien en ze verhalen op je klant die zo nodig dit systeem moest gebruiken. Punt is natuurlijk wel dat als de klant in de tussentijd gestopt is of failliet verklaard, er niets te halen is. Bovendien zit je ook hier met je zorgplicht: als het systeem fundamenteel zo onveilig is, en jij gebruikt dit als verwerker, waarom zou je klant en niet jij er dan voor op moeten draaien.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.