Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Bij ons bedrijf beheren we medische persoonsgegevens ten behoeve van onze klanten. Wij doen dit vanuit Nederland, maar we overwegen nu een aantal individuen in te huren uit andere landen die specifieke werkzaamheden (zoals security testing of databasebeheer) gaan doen. Is dit toegestaan, ook als ze van buiten Europa komen?
Antwoord: Werken met bijzondere persoonsgegevens (gegevens over bijvoorbeeld gezondheid, seksualiteit of politieke voorkeur) vereist inderdaad speciale aandacht voor naleving van de privacywet (Wbp en vanaf 25 mei de AVG). De boetes én het toezicht op omgang met deze gegevens zijn immers steviger.
Maar op hoofdlijnen zijn de regels hezelfde. Je moet immers te allen tijde adequate security hanteren en kunnen aantonen dat je compliant bent (met de AVG). Het niveau van security zal hoger liggen dan een webshop met een nieuwsbrief, maar dat spreekt voor zich.
Het is zowel bij gewone als bij bijzondere persoonsgegevens toegestaan om derden werkzaamheden voor je te laten doen, mits je deze maar als verwerker aanstelt en een verwerkersovereenkomst met ze sluit. Daarmee heb je ze contractueel verplicht tot een aantal belangrijke zaken, zoals beveiligingseisen en het recht van toezicht en audits (door jou) ten aanzien van hun nakoming. Ook kun je daarin aansprakelijkheid en verhaal (vrijwaring) opnemen.
Dit geldt ook wanneer de verwerker van buiten de Europese Economische Ruimte (zeg maar de EU plus Noorwegen, IJsland en Liechtenstein) gevestigd is. Alleen heb je dan een extra hobbel te nemen, en dat is verzekeren dat het land van diens vestiging 'veilig' is in de ogen van de privacywet.
Een aantal landen, zoals Zwitserland, zijn door de EU expliciet erkend als veilig land. Je mag dus verwerkers in die landen contracteren alsof ze gewoon EER-landen zijn. Specifiek voor de VS geldt ook zo'n erkenning, het Privacy Shield. Daarbij geldt wel dat het enigszins twijfelachtig is of die afspraak wel houdbaar is, vanwege de Amerikaanse drang om te snuffelen in persoonsgegevens. Voor andere landen, bijvoorbeeld India, is er zo'n erkenning niet. Daar moet je dan een contract mee sluiten met de zogeheten modelclausules die door de EU zijn opgesteld.
In alle gevallen geldt wel het aandachtspunt dat jij als Europees bedrijf verantwoordelijk blijft voor wat die buitenlandse verwerker doet. Je kunt dat wel contractueel doorschuiven, maar uiteindelijk krijg jij de boete en moet je maar hopen dat je deze kunt verhalen. Plus, jij moet actief toezicht houden op je verwerkers en dat ook kunnen aantonen. Dat kan lastig zijn als je bv. een Indiaas callcenter inschakelt als klein Nederlands bedrijf.
Dus ja, het kan maar specifiek als het gaat om bijzondere persoonsgegevens zou ik het niet aanraden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.