Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Wij zijn een kleine vereniging die zich wil voorbereiden op de AVG. Eén zorg is onze ledenadministratie, die we nu beheren in Google Drive. Ik heb begrepen dat dit mag als we een verwerkersovereenkomst met Google sluiten, maar hoe ga ik dat in vredesnaam doen bij zo'n gigant? Plus hoe houd ik toezicht op hun securitymaatregelen, wat ik vereist ben onder de AVG.
Antwoord: Er zijn veel dingen om je zorgen over te maken bij Google, maar dat je een verwerkersovereenkomst met ze moet sluiten zou er geen moeten zijn. Het bedrijf voorziet in een standaard DPA waar alle gebruikers van haar clouddiensten automatisch onder vallen. Als je met deze overeenkomst kunt leven, dan heb je dus voldaan aan de eis een verwerkersovereenkomst met je verwerker Google te sluiten.
Natuurlijk staan er dingen in die je als verwerkingsverantwoordelijke scherper zou willen hebben. Een verwijderperiode van 180 dagen nadat de instructie is gegeven is bijvoorbeeld vrij ruim, en het kost geld als je Google wilt auditten. Maar alles bij elkaar vind ik hem niet eens zo heel slecht. Zeker niet als je bedenkt dat Google keurig zo ongeveer alle securitycertificeringen heeft die er bestaan.
Voor een mkb organisatie zoals een vereniging zou ik dus geen reden zien om van Google af te stappen als de angst is dat je het qua security of verwerkersovereenkomst niet geregeld krijgt. Het zal in ieder geval veiliger zijn dan je zelf voor elkaar kunt krijgen (of met een eigen verwerkersovereenkomst weet te onderhandelen met een lokale partij).
Wie met Google werkt, zal eerder in het achterhoofd moeten houden dat ze daar op de lange termijn (zeg een jaar of drie tot vijf) weer weg moet. Amerikaanse bedrijven hebben immers met de AVG conflicterende plichten op zich liggen, zoals de plicht lokale law enforcement toegang te geven tot clouddata.
Vooralsnog lijkt die plicht beperkt te zijn tot data in de VS, zodat je je veilig kunt wanen door een Europese dochter te contracteren. Echter, wanneer het Supreme Court deze zomer bevestigt dat de VS wereldwijd mag datasnuffelen (dat is natuurlijk niet zeker, maar het neigt er naar) én wanneer het Hof van Justitie vervolgens oordeelt dat de VS daarom geen veilig land is, en dat ook Privacy Shield en Model Clauses je niet gaan redden, dan houdt het wel op met Amerikaanse cloudbedrijven.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.