Met AVG-hoofdpijn in de wolken

AVG hoofdpijn okta

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om persoonsgegevens goed te beveiligen. Wie dienstverleners inzet, moet met hen heldere afspraken hebben. Maar bij SaaS – software uit de cloud – druist dat in tegen de kern van het businessmodel. Een onoplosbaar probleem?

De verordening verwoordt het mooi. Wie bij de verwerking van persoonsgegevens het doel (waarom deze gegevens worden verwerkt) en de middelen bepaalt (de wijze van verwerking) is ‘verwerkingsverantwoordelijke’ of kortweg: verantwoordelijke. Is er een derde partij ingehuurd om de verwerking voor een deel of helemaal uit te voeren, dan is die de verwerker. Als het verkeerd gaat, klopt de toezichthouder in eerste instantie aan bij de verantwoordelijke. Datzelfde zal ook de betrokkene (de persoon over wie de gegevens gaan) doen. Dat betekent uiteraard niet dat de verwerker maar kan doen en laten wat hij wil. Ook de verwerker moet zich aan eisen van de wetgever houden en kan rekenen op toezicht. Wanneer hij er een potje van maakt, dan zal de Autoriteit Persoonsgegevens ingrijpen. Dat was al het geval onder de Wet bescherming persoonsgegevens (Wbp) en dat blijft zo in de nieuwe situatie. In het verleden heeft de toezichthouder dat ook al bewezen in het geval van een bedrijf dat verzuimregistratie deed. De beveiliging van de administratie was een janboel, waarbij het vrij eenvoudig was om gegevens te stelen uit de database. Door de uitzonderlijke situatie werd toen eerst de verwerker en niet de verantwoordelijke aangesproken. Maar ook hier zijn ervaringen uit het verleden geen garantie voor de toekomst.

 

Maatwerk of standaard?

Om de relatie tussen verantwoordelijke en verwerker goed te regelen vraagt de AVG dat de partijen een verwerkersovereenkomst sluiten. De verantwoordelijke legt uit hoe deze verwacht dat er met de persoonsgegevens wordt omgesprongen en de verwerker belooft dat te doen. Verplicht onderdeel daarbij is de toelichting over de manier waarop de gegevens worden beveiligd. Daarnaast verwacht de wetgever ook dat de opdrachtgever de verantwoordelijkheid neemt en erop toeziet dat de juiste maatregelen worden genomen. Een manier om dat te regelen is om gebruik te maken van de diensten van een auditor, die toetst of de verwerker nog compliant is. Dat bespaart de verantwoordelijke veel werk, er is controle op de bescherming van bedrijfsgeheimen bij de verwerker en het garandeert een hoger niveau van expertise.

Wie gebruikmaakt van clouddienstverleners (zeker bij SaaS) loopt in dit kader al snel aan tegen praktische problemen. Stel dat een aanbieder 25.000 zakelijke klanten heeft, dan zal deze partij er niet warm voor lopen om met iedere klant een andere overeenkomst te sluiten. In de praktijk neemt de clouddienstverlener in veel gevallen zelf het initiatief door met een standaardovereenkomst op de proppen te komen. Voor afwijkingen is in de meeste gevallen – zeker wanneer het om dergelijke aantallen gaat – geen ruimte, omdat het zakelijk model doorgaans samenhangt met het aanbieden van een online commodity. Afwijkingen per klant behoeven maatwerk, maar halen daarmee door de extra kosten het businessmodel onderuit. De hele gedachte dat de verantwoordelijke afhankelijk van de eigen situatie keuzes maakt, staat haaks op het beveiligingsmodel dat voor alle klanten hetzelfde is.

 

Perfecte compliance onwerkbaar

Zou de verwerker wel met iedereen maatwerkafspraken maken, dan moet deze in het voorbeeld van de dienstverlener met 25.000 klanten zichzelf ook evenveel audits laten welgevallen. Los van de vraag of dit logistiek überhaupt te regelen valt, maakt dit meteen duidelijk dat dit geen werkbaar scenario is. Ook minder verschillende wensen zullen onvermijdelijk leiden tot tegenstellingen waar de ene audit bedenkingen opwerpt die juist voor een andere audit een noodzakelijke randvoorwaarde vormt. Ook de suggestie – die soms door juristen wordt geopperd (tot de Autoriteit Persoonsgegevens aan toe) – om dan een enkele audit uit te voeren en de verantwoordelijke een extra onderzoeksvraag mee te geven, is weinig realistisch. Een audit met in het slechtste geval 25.000 extra onderzoeksvragen is ook een behoorlijke nachtmerrie. Daarnaast roept dat het beeld op dat deze stap slechts voor de show is in plaats van een serieuze poging om fatsoenlijk om te gaan met persoonsgegevens.

Gelukkig biedt een artikel uit de AVG zelf de oplossing. Dit artikel maakt het mogelijk om een certificering te krijgen die de toezichthouders zelf hebben uitgedacht. Deze uniforme standaard geeft een bepaalde mate van zekerheid aan de verwerkingsverantwoordelijken. Zij weten immers dat zij werken met een leverancier waar ‘het in zekere mate goed mee zit’. Het probleem is alleen dat de eisen voor die certificering nog niet beschikbaar zijn. Zonder de eisen is er geen toetsing en ook geen zekerheid. Het manco voor de beveiliging blijft daarmee in tact. Wie dus de beveiligingsverplichting serieus wil nemen totdat de echte oplossing een feit is, zal dus zelf een pragmatische oplossing moeten kiezen. Dat komt neer op het zelf maken van een selectie uit de auditbare standaarden, die overtuigen dat de beveiliging deugt. Op basis daarvan valt een verwerker op te selecteren, uiteraard mits er ook op de andere AVG-punten een werkbare verwerkersstatement is. Pas dan kan de verwerking met een relatief gerust hart uit handen worden gegeven.

Desondanks is dit nu een aspect van de AVG – waar vooralsnog problemen zonder oplossing blijven bestaan – waardoor organisaties met hoofdpijn in de cloud gaan.

 

Brenno de Winter

brenno de winter werkt al heel lang in IT

Gerelateerde berichten...