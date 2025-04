Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Wij leveren software-as-a-service diensten waarmee klanten data verwerken. Dit kunnen persoonsgegevens zijn. Onze klanten vragen ons om de mogelijkheid klantdata te delen met derden. Mogen wij dat faciliteren? Wij kunnen niet overzien of er toestemming is van de personen om wiens data het gaat, of dat er wel een verwerkersovereenkomst is met de ontvangende partij.

Dit is een vraag die ik regelmatig krijg. Vaak gaat het om SaaS diensten waarbij de vraag gaat om een koppeling of API, zodat de toegang door de derde automatisch mogelijk is. Maar soms wordt ook handmatige assistentie gevraagd, zeg maar "kun je een database dump naar partij X sturen voor ons".

Juridisch maakt dat niet heel veel uit. Het gaat hier om persoonsgegevens die de klant verwerkt in het systeem. In termen van de AVG is de dienstverlener dan de verwerker, omdat de klant bepaalt voor welke doelen dit gebeurt. In die context is het ook de keuze van de klant wie toegang mag hebben tot de gegevens, dus als die een derde partij aanwijst dan heeft de verwerker dat maar uit te voeren.

Een specifieke zorgplicht voor de verwerker om na te gaan of dat wel rechtmatig is, kent de AVG niet. Dus tenzij je zelf heel duidelijke aanwijzingen ziet dat hier iets misgaat, hoef je hier niet aan te twijfelen. Hetzelfde geldt vanuit je algemene zorgplicht als ict-dienstverlener.

Bij een API koppeling of delen/share-functie is het vaak zelfs niet eens mogelijk om zo'n check te doen. Als iemand een geldige API-sleutel heeft, dan moet dat wel dankzij een autorisatie van je klant zijn (behoudens aanwijzingen voor cyberinbraken) dus dan is dit geautoriseerd.

Als verwerker ben je wel gehouden te zorgen dat dit op een veilige manier gebeurt, uiteraard tot het eindpunt van afleveren bij die derde. Dus de API moet een beveiligd kanaal hebben, het sleutelbeheer moet conform de stand der techniek gebeuren en ga zo maar door. Een Excelbestand maken en via de mail versturen naar het mailadres dat de klant in een ticket doorgaf, zou ik wat riskant vinden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.