image

Juridische vraag: is een appleverancier ook meteen verwerkingsverantwoordelijke?

woensdag 16 maart 2022, 12:11 door Arnoud Engelfriet, 13 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit 'opgesloten' in de app, waar de exploitant alle controle over kan uitoefenen. Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?

Antwoord: Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen. (Een verwerker is een partij die voor een verantwoordelijke een verwerking uitvoert, maar dus niet zelf doel of middelen bepaalt.)

Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant ("there is no cloud") de verantwoordelijke daarvoor is. Soms de verwerker - als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken.

Omgekeerd, enkel het leveren van middelen maakt je geen verwerkingsverantwoordelijke. Als je dus een lokale applicatie gebruikt en daarin persoonsgegevens verwerkt, heeft de leverancier geen rol onder de AVG. Jij (of je organisatie) bent dan zelf de verwerkingsverantwoordelijke.

De situatie met een app is iets ingewikkelder. De vraagsteller noemt het "opsluiten", dus de data is niet even uit de app te halen zoals bij desktopapplicaties waar je gewoon databestanden naast het programma hebt staan. En natuurlijk kan een app-leverancier veel makkelijker updates forceren dan een traditionele desktopsoftwareleverancier.

Toch maakt dat hem denk ik niet direct een verwerkingsverantwoordelijke: de appleverancier bepaalt nog steeds niet wat je doet met de app, dat doe jij als gebruiker van de app. Natuurlijk wordt dat anders als er functies ingebouwd zijn die onder controle van de leverancier dingen doen (zoals adresboeken uploaden), maar dan hebben we vaak meteen ook te maken met cloudopslag.

Als verwerkingsverantwoordelijke heb je de plicht te zorgen voor de rechten van de betrokken personen. Dat kan dus betekenen dat je ze een kopie van hun persoonsgegevens moet geven, en correcties moet doorvoeren. Als zo'n app dat niet toestaat, ben jij dus niet AVG compliant. De AVG regelt alleen niet dat jij van je leverancier dan een update kunt eisen waarmee dat wel kan - die zegt, gebruik die app dan maar niet.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
16-03-2022, 15:59 door Anoniem
Ik begrijp de stelling niet dat als ik van een clouddienst gebruik maak, de leverancier daarvan dan verwerkingsverantwoordelijke is.
Als ik een verwerking opzet van persoonsgegevens en ik daar een cloudleverancier voor gebruik (in het simpelste geval bijvoorbeeld Onedrive van MS) dan bepaal ik het doel en de middelen.
Ik zie niet waarom de cloudleverancier dan opeens op magische wijze verantwoordelijk wordt.
Die suggestie wordt wel gewekt in het artikel:

"Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant ("there is no cloud") de verantwoordelijke daarvoor is."

Waarom zou deze constructie opeens de verantwoordelijkheid verleggen naar de leverancier?
16-03-2022, 18:32 door Arnoud Engelfriet
Zie de volgende zin: "Soms de verwerker - als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken."

Is het écht zo dat als jij dingen opslaat in Onedrive, dat jij dan bepaalt wat daarmee gebeurt en hoe? Inclusief bijvoorbeeld security monitoring, backupprocedure, toegang door autoriteiten, virusscanning, analyseren voor trainingsdoeleinden?
16-03-2022, 19:11 door Anoniem
In theorie kun je natuurlijk bij "data opslag in de cloud" (Onedrive) alles client-side encrypten op een zodanige manier
dat de beheerders van die cloud infrastructuur niets met die data kunnen behalve het weer aan jou terugleveren als
je dat vraagt. In de praktijk doet natuurlijk vrijwel niemand dat, behalve wellicht in geval van backups.
16-03-2022, 19:16 door Anoniem
Sorry ik zeg het niet vaak, maar wat een vraag zeg en dat dit nog beantwoord wordt. Dat snap ik al helemaal niet. Dit is toch een retorische vraag?
16-03-2022, 23:35 door Anoniem
Er is een verschil tussen verantwoordelijk zijn voor een dienst, waarbij een deel of alles wordt uitbesteed aan 1 of meerdere partijen -denk aan uitbesteden ICT infrastructuur en het verwerken van persoonsgegevens binnen/ tbv die dienst. .
In de eerste plaats ben en blijf je altijd eindverantwoordelijk voor de dienst richting jouw klanten of eindgebruikers en niet je leverancier. Immers, jij besluit iets uit te besteden, maar dat ontslaat je niet van je plichten en dus verantwoordelijkheden tav die dienst.
Bij de verwerking van persoonsgegevens kan het voorkomen dat zo’n leverancier inderdaad ook verwerkingsverantwoordelijk is naast jouwzelf. Je bent dat dan dus beide! Dat is het geval wanneer die leverancier iets doet met de door jou aangeleverde/ verwerkte persoonsgegevens waar je geen invloed op hebt of niet om gevraagd. Bijv. als er voor marketingdoeleinden analyses gemaakt worden door de leverancier of wanneer die leverancier kopieën maakt voor backups die jij niet gevraagd hebt. Heb je dat wel -dus jij hebt bepaalt dat de leverancier dit moet doen- ben alleen jij de verwerkingsverantwoordelijke.

Zoals Arnoud dus probeert aan te geven: Het ligt dus minder simpel en voor de hand liggend dan je zou denken, vanuit AVG optiek.
Zie ook: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/verantwoordelijke-en-verwerker
17-03-2022, 08:37 door Anoniem
Door Arnoud Engelfriet: Zie de volgende zin: "Soms de verwerker - als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken."

Is het écht zo dat als jij dingen opslaat in Onedrive, dat jij dan bepaalt wat daarmee gebeurt en hoe? Inclusief bijvoorbeeld security monitoring, backupprocedure, toegang door autoriteiten, virusscanning, analyseren voor trainingsdoeleinden?

Ik sluit mij helemaal aan bij de eerste reactie. En als reactie op jou Arnoud: Ja, als het goed is weet je (of kun je op z'n minst weten) wat er met de data gebeurd. Daar is toch een verwerkersovereenkomst voor? Nu is dat een beetje weerbarstig bij de grootste cloud-leverancier Microsoft die deze zaken in de algemene voorwaarden heeft gestopt (daar vind ik overigens ook vanalles van, mooie input voor een volgende vraag misschien- stuur ik je gelijk toe).
Of ik nu kies voor het opslaan op een lokale harde schijf of in een cloud-omgeving: mijns inziens verschuift daarmee de rol van verwerkingsverantwoordelijke niet.
17-03-2022, 08:47 door Anoniem
Sorry ik zeg het niet vaak, maar wat een vraag zeg en dat dit nog beantwoord wordt. Dat snap ik al helemaal niet. Dit is toch een retorische vraag?

Inderdaad een retorische vraag. Maar niet geheel zonder vraagcomponent. De essentie voor verwerkingsverantwoordelijkheid is volgens mij namelijk wie het doel bepaald voor de verzameling. Een cloudoplossing is slechts een middel en ook daarvan bepaald de verzamelaar of hij die gebruikt.

In dit artikel wordt gesuggereerd dat die verantwoordelijkheid op mirakuleuze wijze overgaat naar de cloudoplossingaanbieder.
Daar zet ik dan ook mijn vraagtekens bij.

In ieder geval bedankt voor de opheldering Anoniem 19:16 ;-)
17-03-2022, 12:15 door Anoniem
Offtopic: bij het woord "appleverancier" moet ik telkens nog eens kijken omdat ik "apple-verancier" lees. ;-)
17-03-2022, 14:56 door Anoniem
De vraag is, wat de vraagsteller eigenlijk bedoelt. Je hebt apps, waarbij je b.v. je naw-gegevens, geboortedatum en bankrekeningnummer moet invullen, om het te kunnen gebruiken. Die app en gegevens zie je gewoon op je telefoon. Maar na verwijderen, weer installeren en evt. aanmelden, zie je ze weer staan. Dat wijst erop, dat deze informatie door de maker van de app wordt opgeslagen. Het lijkt me, dat in die situatie de AVG over die gegevens wel van toepassing is.
17-03-2022, 21:50 door Anoniem
Ah, dus als een organisatie, zeg de Jeugdzorg, al hun uiterst privacygevoelige data bij Amazon, Microsoft, Google, of wat dan ook, stalt (hetgeen hun eigen beslissing is, waar ze als opdrachtgever ook nog voor betalen, en bewust akkoord gaan met de SLA en ToS daarvan, enzovoorts), met zwak wachtwoord beleid, geen 2FA, geen auditing, geen logging, geen monitoring, sta ieder apparaat waar in de wereld dan ook en ongeacht in welke vertrouwingstoestand dan ook volledige toegang toe, geen EDR, geen informatiebeveiligingsbeleid, geen SOC, enzovoorts, dan is Jeugdzorg niet de verwerkingsverantwoordelijke?

Lijkt mij een ideale manier om goedkoop onder je AVG verplichtingen en aansprakelijkheidsrisico's uit te komen.

Neem het allergoedkoopste abonnement, ontsla al je IT personeel, verplaats al je data naar de cloud, allow any any, en succes ermee.

Geloof ik niks van.

Als jij data hebt waarvan jij de verwerkingsverantwoordelijke bent, en je besluit willens en wetens dat in de cloud te zetten, dan kun je je niet verschuilen achter het feit dat jij geen volledige controle hebt over wat en hoe die mensen van die cloud er wel of niet mee doen, dat is en blijft jouw verantwoording, want jouw eigen vrije keuze, jouw verantwoording, jouw aansprakelijkheidsrisico.

Klinkt als een brood kopen bij de bakker, vervolgens voedselvergiftiging oplopen, maar de bakker is niet aansprakelijk want die heeft geen controle over wat de broodbakfabriek allemaal uitspookt. Dat heeft die bakker namelijk wel, namelijk niet in zee gaan met een broodbakfabriek waarvan de bakker niet overtuigd is dat het die bakker aansprakelijkheidsrisico's kan gaan opleveren (alsmede extra verplichtingen, zoals voortdurende eigen controle op voedselveiligheid van de geleverde producten/diensten, die die bakker niet risicoloos mag wegwuiven). En als die bakker wel in zee gaat met die broodbakfabriek, dan is dat volledig het risico van die bakker, niet van de consument die er van uit mag gaan dat die bakker een veilig product levert, en anders daar dusdanig aansprakelijk voor is dat herhaling van die onveiligheid minder voor herhaling vatbaar wordt.

Nog simpeler, als ik vertrouwelijke dossiers uitprint en zichtbaar voor iedereen op de straat tegen mijn eigen ramen plak, dan ben ik de aansprakelijke verwerkingsverantwoordelijke, maar als ik diezelfde dossiers naar de overkant van de straat breng (met een ToS van: dikke pech als het fout gaat) en daar plakken ze de dossiers zichtbaar tegen de ramen, dan zijn zij opeens de verwerkingsverantwoordelijke, en niet slechts de verwerker die dan mede aansprakelijk is en mij onverwijld volledig op de hoogte dient te stellen van hun miskleun? Immers, mijn klanten gaan met mij een overeenkomst aan, en niet met welke verwerker dan ook die ik aanwijs voor (deel)verwerking, want welke verwerker ik ook kies, het is en blijft mijn aansprakelijkheid richting mijn klanten, wat mijn verwerkers ook doen. Hooguit kan ik bewerkstelligen dat als een verwerker van mij zoiets flikt ik mijn aansprakelijkheden volledig kan doorschuiven naar die verwerker (op juridisch onweerlegbare en onoverkoombare wijze; succes daarmee), maar als ik dat verzuim (of dat niet waar kan maken) dan blijft dat mijn genomen risico, want mijn klanten hebben geen enkele zeggenschap over welke verwerker ik kies, dus dienen dat risico niet te dragen waar zijzelf geen enkele invloed op hebben.

Kan gesteld worden dat een klant ook een eigen verantwoording heeft, maar nee, niet zover als dat die geldt voor de verwerkingsverantwoordelijke, en wie ook aangewezen wordt als verwerker door die verwerkingsverantwoordelijke. Of hoe gaat men anders naar alle klanten (betrokkenen) borgen dat zij altijd volledig begrijpen, stuk voor stuk, wat er allemaal speelt qua hun persoonlijke belangen en rechten? Op zodanige wijze dat er een weloverwogen, op volledig en afdoende geïnformeerde wijze, herziening (vrij van last) kan plaatsvinden, iedere keer als er wat wijzigt dat in hun belang en aanhangende besluitvorming kan zijn dan eerder voorgesteld?
18-03-2022, 16:48 door Anoniem
Wat compleet genegeerd wordt is dit stukje:

Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?

Wat mij betreft hoeft het niet onder de AVG te zijn: kan het überhaupt?
24-03-2022, 10:24 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 24-03-2022, 10:56
@17-03-2022, 21:50 door Anoniem

Hier ben ik het hartgrondig mee eens! Dank voor de heldere uitleg.

Wie de "verwerkingsverantwoordelijke" is, moet op grond van de definities in de AVG bepaald worden aan de hand van drie criteria:
(1) Om welke persoonsgegevens gaat het?
(2) Wie is de eigenaar van die persoonsgegevens?
(3) Wie bepaalt voor welke doelen en met welke middelen die gegevens worden verwerkt?

Het gaat dus altijd om een relatie tussen de (oorspronkelijke) eigenaar van de persoonsgegevens (de "betrokkene", het "datasubject") en degene die bepaalt wat er bij een bepaalde verwerking met die gegevens gebeurt (de "verwerkingsverantwoordelijke").

Pas als die relatie ontstaat, ontstaat er ook een "verwerkingsverantwoordelijke". Er zijn vier scenario's voor hoe zo'n relatie kan ontstaan:

(1) De betrokkene zegt tegen de verwerkingsverantwoordelijke: ik wil dat jij iets voor me doet. De verwerkingsverantwoordelijke antwoordt dan: ik wil dat wel voor je doen, maar alleen als ik die-en-die persoonsgegevens van jou mag verwerken, volgens de methode en specificaties van mijn privacy-verklaring. De betrokkene zegt vervolgens: oké, ik stem daarmee in. Dit gebeurt bijvoorbeeld als een betrokkene een niet-noodzakelijk product koopt bij een webshop, bijvoorbeeld een boek of een kledingstuk. (art. 6 lid 1 onder a), b) of f) AVG)

(2) Een verwerkingsverantwoordelijke zegt tegen een betrokkene: ik ga jouw persoonsgegevens verwerken, of jij dat nu leuk vindt of niet. Ik doe dat met de volgende doelen en gebruik daarbij de volgende middelen - en dan overhandigt hij aan de betrokkene een privacy-verklaring. De verwerkingsverantwoordelijke moet in dat geval aantonen dat er een noodzaak is voor de verwerking van de betreffende gegevens. Dit is bijvoorbeeld het geval als de Belastingdienst of een gemeente de persoonsgegevens van een burger verwerkt. Of als een bedrijf een wettelijke verplichting heeft bepaalde gegevens van een betrokkene met de overheid of anderen te delen. Of als een bedrijf een "zwaarder wegend, gerechtvaardigd belang" heeft om bepaalde gegevens te verwerken. (art. 6 lid 1 onder c), e) of f) AVG)

(3) Een verwerkingsverantwoordelijke overhandigt persoonsgegevens van de betrokkene aan derden ten behoeve van "vitale belangen", zonder de betrokkene te raadplegen. Dit gebeurt bijvoorbeeld als een huisarts medische gegevens van een zwaargewonde, bewusteloze burger aan een ziekenhuis verstrekt zodat het leven van die burger kan worden gered. (art. 6 lid 1 onder d) AVG)

(4) De betrokkene moet noodgedwongen gebruik maken van een dienst van de verwerkingsverantwoordelijke en krijgt van de verwerkingsverantwoordelijke te horen dat die in dat geval bepaalde persoonsgegevens van de betrokkene zonder diens toestemming gaat verwerken, of die dat nu leuk vindt of niet. De verwerkingsverantwoordelijke moet dan aantonen dat de betreffende gegevensverwerking noodzakelijk is voor dat doel. Dit is bijvoorbeeld het geval als een burger een contract afsluit met een elektriciteits- of drinkwaterleverancier of als een burger een treinkaartje koopt van een spoorwegmaatschappij die een monopolie heeft op de betreffende reisroute. (art. 6 lid 1 onder b) of f) AVG)

Categorieën (2) en (4) zijn de lastige categorieën, omdat daarbij sprake is van gegevensverwerking van een bewuste, wilsbekwame betrokkene, echter zonder diens toestemming. Soms proberen verwerkingsverantwoordelijken dan onder hun juridische verplichtingen en beperkingen uit te komen door een onderaannemer (d.w.z. een verwerker, bijv. een data-bedrijf) aan te wijzen als de "eigenlijke" verwerkingsverantwoordelijke. Een voorbeeld daarvan is treinvervoerder NS, die in zijn algemene voorwaarden heeft opgenomen dat de treinreiziger die bij NS een vervoersbewijs koopt, daarbij tevens een "contract" zou hebben afgesloten met Trans Link Systems, op grond waarvan Trans Link Systems opeens een (mede-) verwerkingsverantwoordelijke zou zijn die bepaalt wat er met de persoonsgegevens van de klant mag gebeuren. Maar de doelen van Trans Link Systems verschillen van die van NS, en voor die andere doelen kan extra gegevensverwerking "noodzakelijk" zijn die op zichzelf niet nodig is voor het leveren van een treinreis aan de klant van NS. Dit is dus een juridische truc om het zonder noodzaak ontfutselen van extra persoonsgegevens in schijn te legaliseren - precies de truc die @Anoniem 17-03-2022, 21:50 hierboven beschrijft.

Tot mijn grote verbazing keuren de AP en Nederlandse rechters deze truc goed. Inmiddels is hierover bij het Europese Hof voor de Rechten van de Mens (EHRM) een rechtszaak aangespannen: https://www.privacyfirst.nl/images/stories/ov-chipkaart/2022-02-25-Railroad-to-Surveillance-text-application-and-annex.pdf

In dit verband is de vraag interessant wat er in de AVG wordt bedoeld met het "bepalen" van de doelen en middelen voor de verwerking van persoonsgegevens. Mag verwerkingsverantwoordelijke A ook "bepalen" dat de verwerkingsverantwoordelijkheid zèlf wordt doorgeschoven naar firma B, die andere doelen heeft dan verwerkingsverantwoordelijke A, zonder dat de betrokkene daar toestemming voor hoeft te geven? Dat zou een vrijbrief zijn voor het ontduiken van de AVG en van artikel 8 van het Europese Verdrag voor de Rechten van de Mens (EVRM).

De AP en Nederlandse rechters lijken het op die manier ontduiken van de AVG en het EVRM wel prima te vinden. Het doet een beetje denken aan bepaalde goedgekeurde fiscale constructies waarmee Nederland lange tijd belastingontduiking legaliseerde en daarmee omtoverde in legale "belastingontwijking" (en misschien nog steeds - vraag het eens aan een belastingadviseur of een fiscaal jurist).

M.J.
25-03-2022, 11:47 door Anoniem
Pas als die relatie ontstaat, ontstaat er ook een "verwerkingsverantwoordelijke". Er zijn vier scenario's voor hoe zo'n relatie kan ontstaan:

(1) De betrokkene zegt tegen de verwerkingsverantwoordelijke: ik wil dat jij iets voor me doet. De verwerkingsverantwoordelijke antwoordt dan: ik wil dat wel voor je doen, maar alleen als ik die-en-die persoonsgegevens van jou mag verwerken, volgens de methode en specificaties van mijn privacy-verklaring. De betrokkene zegt vervolgens: oké, ik stem daarmee in. Dit gebeurt bijvoorbeeld als een betrokkene een niet-noodzakelijk product koopt bij een webshop, bijvoorbeeld een boek of een kledingstuk. (art. 6 lid 1 onder a), b) of f) AVG)

[ . . . . .]

(4) De betrokkene moet noodgedwongen gebruik maken van een dienst van de verwerkingsverantwoordelijke en krijgt van de verwerkingsverantwoordelijke te horen dat die in dat geval bepaalde persoonsgegevens van de betrokkene zonder diens toestemming gaat verwerken, of die dat nu leuk vindt of niet. De verwerkingsverantwoordelijke moet dan aantonen dat de betreffende gegevensverwerking noodzakelijk is voor dat doel. Dit is bijvoorbeeld het geval als een burger een contract afsluit met een elektriciteits- of drinkwaterleverancier of als een burger een treinkaartje koopt van een spoorwegmaatschappij die een monopolie heeft op de betreffende reisroute. (art. 6 lid 1 onder b) of f) AVG)

Het verschil tussen (1) en (4) valt wel een beetje weg als bijna alle fysieke boekhandels zijn weggeconcurreerd door een paar mega-grote webshops (Amazon, Bol, ...).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.