Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Ons bureau adviseert gezinnen, en slaat rapporten en adviezen op in de G Suite cloud, de zakelijke Google Drive zeg maar. Maar is dit wel toegestaan, gezien het gevoelige karakter van deze documenten?
Antwoord: G Suite is een officepakket in de cloud van Google, bedoeld voor bedrijven die veilig en snel bij hun gegevens willen kunnen. Maar in principe doet dat er niet toe: waar het om gaat, is dat het bureau persoonsgegevens opslaat bij een derde. (Er is geen cloud, het is gewoon iemand anders z'n computer.)
Het opslaan van persoonsgegevens bij een ander - uitbesteding - is in principe legaal, mits je aan een aantal voorwaarden voldoet:
1. Er moet een overeenkomst zijn tussen jou en de ander, een zogeheten bewerkersovereenkomst, waarin de privacyaspecten van de dienstverlening worden uitgewerkt. Hier zal onder meer over beveiliging, continuïteit en toegang zaken moeten zijn opgenomen.
2. De veiligheid van de gegevens moet daadwerkelijk zijn gewaarborgd, en je moet daar toezicht op kunnen uitoefenen. De ander mag er niet bij kunnen tenzij dat noodzakelijk is voor de dienst.
3. De persoonsgegevens moeten in de Europese Unie (heel formeel de EER, dus ook Noorwegen of Zwitserland zijn goed) zijn opgeslagen.
Van eis 3 mag alleen worden afgeweken als het land als 'veilig' is aangemerkt door de Europese Commissie. De VS (waar Google z'n data neerzet) wordt als veilig gezien sinds we het Privacy Shield hebben (de opvolger van Safe Harbor), hoewel daar nogal wat vraagtekens bij te zetten zijn. Het grote probleem met de VS is dat hun Justitie al snel vindt dat ze bij opgeslagen data mag, ongeacht van welke klant die afkomstig is. Dat botst met het idee dat dit data van Europeanen is, waar men alleen via een rechtshulpverzoek bij zou moeten kunnen. Dit is in Privacy Shield niet goed geregeld en zal dus tot problemen gaan leiden.
Een tussenoplossing is om met de Europese dochter van Amerikaanse bedrijven te werken. Daar kan de Amerikaanse Justitie dan geen bevelen aan geven, zeker niet nu Microsoft in hoger beroep een zaak heeft gewonnen die zegt dat ook de Amerikaanse moeder niet gedwongen mag worden die gegevens te gaan halen bij hun buitenlandse dochter.
Bij Google werken ze (voor zover ik weet) niet met die constructie, je doet altijd zaken met Google Inc. Data staat dan wel fysiek in Europa als je daarom vraagt, maar Justitie in de VS kan er dan dus legaal om vorderen en dat is dus een probleem.
Dat het hier om bijzondere persoonsgegevens gaat, maakt daarbij overigens weinig uit. Bij zulke gegevens is het vooral extra belangrijk om de noodzaak van het hebben daarvan aan te kunnen tonen, en om apart duidelijk toestemming te hebben gevraagd voor het gebruik. Maar beveiligingseisen en dergelijke blijven gelijk.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.