Datum: 21 november 2016
Gewijzigd 14 november 2023
Geschreven door: Valerie Lipman
Leestijd: +/- 2 minuten
Een afnemer van clouddiensten wordt via meerdere kanalen gewezen op de risico’s van het ‘zomaar’ afstaan van gegevens. Over de privacyverplichtingen voor de cloudaanbieder is veel minder te vinden. Onterecht.
Of het nu gaat om het overhevelen van een salarisadministratie of om het beheer van de klantgegevens van een webwinkel, in veel gevallen bestaan de data die naar de cloud worden overgeheveld uit persoonsgegevens. Dit zijn gegevens die te herleiden zijn tot een individu, zoals emailadressen, maar ook wachtwoorden en IP-adressen. De cloudaanbieder verwerkt deze gegevens in opdracht van zijn afnemer. Hieronder worden allerlei handelingen verstaan, zoals verzamelen, ordenen, opslaan, doorsturen, wijzigen of anderszins gebruiken. Omdat de afnemer bepaalt voor welk doel de gegevens worden verwerkt, wordt hij door de WBP aangemerkt als ‘verantwoordelijke’. De cloudaanbieder die de gegevens verwerkt, is de ‘bewerker’. Het is in eerste instantie de verantwoordelijke die moet voldoen aan allerlei verplichtingen uit de WBP. Bij schending hiervan kan de toezichthouder, het College Bescherming Persoonsgegevens, boetes opleggen aan de verantwoordelijke.
Indirect brengen de verplichtingen van de verantwoordelijke echter ook verplichtingen voor de cloudaanbieder mee. Zodra een verantwoordelijke de verwerking van persoonsgegevens uitbesteed aan een bewerker, moet hij er namelijk op toezien dat de bewerker aan bepaalde verplichtingen voldoet. Deze verplichtingen moeten worden vastgelegd in een zogenaamde bewerkersovereenkomst.
In deze overeenkomst worden verplichtingen van de bewerker vastgelegd over de verwerking, de bescherming en de beveiliging van de persoonsgegevens. De bewerker moet de gegevens geheim houden en voorzien in een adequate technische en organisatorische beveiliging van de persoonsgegevens. Ook wordt vastgelegd dat de bewerker de gegevens uitsluitend mag verwerken in opdracht van de verantwoordelijke. Voor de cloudaanbieder is het belangrijk de bewerkersovereenkomst zorgvuldig te formuleren. Wanneer de hierin neergelegde verplichtingen worden geschonden, levert dit immers wanprestatie op en kunt u hier door de verantwoordelijke, uw afnemer, op worden aangesproken.
In de huidige digitale omgeving is de bestaande regelgeving niet meer toereikend. Om die reden heeft de Europese Commissie in 2012 een voorstel gedaan voor een Europese verordening. De verwachting is dat deze verordening rond 2016 in werking treedt. In de concept verordening worden de verplichtingen van verantwoordelijken en bewerkers verder aangescherpt. Dit geldt bijvoorbeeld voor het waarborgen van adequate beveiliging, het opleggen van geheimhouding aan personeel en het uitsluitend handelen in opdracht en volgens instructies van de verantwoordelijke. De verplichtingen van de bewerker en de instructies van de verantwoordelijke moeten in een document worden vastgelegd en de verwerking moet goed gedocumenteerd worden. De concept verordening verplicht de bewerker ook om datalekken onmiddellijk te melden aan de verantwoordelijke. Het zorgvuldig vastleggen van de verplichtingen en instructies blijft dus ook onder de concept verordening een belangrijk punt van aandacht.
Belangrijker nog is echter dat deze verplichtingen onder de concept verordening ook rechtstreeks aan de bewerker worden opgelegd. De toezichthouder kan de bewerker rechtstreeks aanspreken op het schenden van diens verplichtingen. Op niet naleving van de verplichtingen staan hoge boetes, die gelijk zijn aan de boetes die aan verantwoordelijken kunnen worden opgelegd. Deze boete kan oplopen van 0,5 % tot maar liefst 2% van de jaarlijkse wereldwijde omzet!
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.