Cloudsourcing (6) Privacy & security

Elke onderneming verwerkt persoonsgegevens. Gegevens van klanten en personeel zoals namen, e-mailadressen en telefoonnummers zullen altijd ergens worden opgeslagen in de systemen van een bedrijf. Hierdoor valt iedere ondernemer onder de Wet bescherming persoonsgegevens (Wbp) waarin regels met betrekking tot privacy zijn opgenomen. In dit kader zijn drie verschillende rollen te onderscheiden. Volgens de Wbp wordt degene die het doel en de middelen vaststelt van de verwerking als ‘verantwoordelijke’ aangemerkt. Als je als verantwoordelijke een derde partij inschakelt voor de verwerking dan wordt die partij volgens de wet ‘bewerker’. De persoon op wie de gegevens betrekking heeft is tenslotte de ‘betrokkene’. Om die laatste te beschermen zijn de meeste regels gericht aan de verantwoordelijke.

Wanneer je als onderneming gaat cloudsourcen zal dat er toe leiden dat je, als verantwoordelijke, een bewerker inschakelt. Als voorbeeld gebruik ik nog maar eens de cloudsourcing waarbij alle PC-functies worden overgenomen door een remote dekstop oplossing van een leverancier. Waar de persoonsgegevens van betrokkenen (klanten en personeel) voorheen op de eigen systemen opgeslagen stond zullen doormiddel van de clouddienst op de servers van de clouddienstverlener worden opgeslagen. Hierdoor wordt de clouddienstverlener dus bewerker. Privacy regels schrijven voor dat de rechtsverhouding tussen verantwoordelijke en bewerker geregeld moet worden in een zogenaamde bewerkersovereenkomst.

In zo’n bewerkersovereenkomst dienen een aantal zaken afgesproken te worden. Het doel van de overeenkomst is dat de verantwoordelijkheden van beide partijen ten aanzien van de verwerking duidelijk worden.

Onderwerpen die in een bewerkersovereenkomst thuishoren zijn:

-          De doeleinden van de verwerking. /> De doeleinden zullen duidelijk omschreven moeten worden waarbij aangehaakt kan worden bij de strekking van de achterliggende overeenkomst. Het is bewerker niet toegestaan om buiten de omschreven doeleinden de gegevens te verwerken.

-          Technische beveiligingsmaatregelen. /> Een voorbeeld is het implementeren van beveiligde netwerkverbindingen via Secure Socket Layer (SSL) technologie of een beveiligd intern VPN-netwerk.

-          Organisatorische beveiligingsmaatregelen. /> Indien bewerker werkt conform de standaarden van een ISO-27001 certificaat kan hier naar verwezen worden.

-          Geheimhouding en vertrouwelijkheid moeten worden gewaarborgd in de overeenkomst. /> Persoonsgegevens mogen door de bewerker niet aan derden worden verstrekt.

-          Recht op inzage en verwijdering. /> Bewerker dient er voor te zorgen dat betrokkene op verzoek inzage kan hebben tot de verwerkte gegevens.

-          Auditregeling. /> Verantwoordelijke moet de mogelijkheid hebben om bij bewerker een audit uit te voeren om te kunnen bepalen of de gemaakte afspraken worden nagekomen.

Helaas wordt in de praktijk weinig gevolg gegeven aan de wettelijke plicht tot het overeenkomen van een bewerkersovereenkomst. Dit terwijl de aansprakelijkheden voor dataverlies voor substantiële financiële risico’s kan zorgen, denk hierbij ook aan reputatieschade in het geval dat er klantgegevens op straat zouden komen te liggen. Bovendien is het een teken van professionaliteit om na te denken over privacy en security van je klantgegevens.

Een bewerkersovereenkomst opstellen hoeft helemaal niet duur te zijn, kijk maar eens naar onze href="https://www.ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomst-generator/">generator.

Terug naar overzicht