Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Als ondernemer heb ik mijn administratie uitbesteed bij een accountantskantoor. Zij maken daarbij weer gebruik van een (Nederlandse) clouddienstverlener die weer opslagruimte in Duitsland gebruikt. Wie is/zijn in dit geval onder de AVG de verantwoordelijke(n) en verwerker(s) en met wie moet ik daarvoor verwerkersovereenkomsten treffen?
Antwoord: Onder de AVG is het erg belangrijk vast te stellen wie er verantwoordelijk is voor een gegevensverwerking zoals een administratie, omdat deze partij aansprakelijk is voor boetes bij niet-nakoming van deze nieuwe privacywet. Ook kunnen betrokken personen bij deze partij claims indienen als hun gegevens incorrect worden verwerkt.
Een verantwoordelijke kan verwerkingen uitbesteden bij derden. Deze heten dan 'verwerkers' (onder de huidige wet 'bewerkers') en de verantwoordelijke moet zogeheten verwerkersovereenkomsten sluiten waarin kwaliteit en zorgvuldige verwerking wordt geborgd, eventueel met de mogelijkheid boetes te verhalen.
De wettelijke definitie van een verantwoordelijke is simpel: de partij die het doel van de verwerking bepaalt en de middelen daarvan kiest. De verwerker is dan een partij die de verwerking doet zonder deze bepaling en keuze te maken. Voor een administratie van een onderneming is daarmee het antwoord in eerste instantie simpel, namelijk de onderneming zelf is verantwoordelijke en het administratiekantoor/accountant is de verwerker.
Het wordt al snel echter onduidelijk, met name als je naar die middelen kijkt. Want de onderneming heeft niets te zeggen over de ontwikkeling en inzet van het cloudpakket voor de administratie, of meer algemeen welke middelen (zoals hardware en software) de accountant dan wel het cloudbedrijf of zijn datacenter inzet. Natuurlijk kunnen de partijen op papier vastleggen van wel, maar de feitelijke situatie verandert daar gewoonlijk niet door. Juridisch gezien geeft de feitelijke situatie de doorslag.
Het criterium van de keuze gaat niet zo ver dat de onderneming precies moet bepalen welke features in de software moeten zitten, of zelfs maar inspraak heeft in de ontwikkeling van de software. Het gaat er meer om of de data die in die software komt, alleen ten behoeve van deze onderneming wordt ingezet. Als de strekking van het contract is dat dit accountantskantoor de administratie van deze onderneming beheert en geen eigen doeleinden daarbij bepaalt, en de software combineert ook niet feitelijk die informatie met informatie van anderen, dan blijft het uiteindelijk de keuze voor een middel van de onderneming.
Belangrijker is dus de vraag wie de doelen van de verwerking bepaalt. In principe beantwoordt dat namelijk in 80% van de gevallen wie de verantwoordelijke is. Op zich is dat bij een onderneming vrij simpel: "doe mijn administratie" is een duidelijke keuze voor een doel. Maar specifiek bij een accountantskantoor kán daar meer bij komen kijken, met name de onafhankelijke toets op de jaarrekening. De NBA heeft daar een hele analyse over opgesteld.
Bij de clouddienstverlener zijn daar in theorie ook vraagtekens bij te stellen. Een dienstverlener zou bijvoorbeeld kunnen zeggen dat zij gegevens aan Justitie kunnen geven bij strafbare zaken, maar formeel is dat dan een eigen keuze voor dat doel, en dat hoort een verwerker niet te doen.
In ieder geval is het dus altijd zaak om dit duidelijk op papier te zetten zodat je de gegevensstromen duidelijk krijgt en daarmee een onderbouwing kunt geven wie er verantwoordelijke is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.