Brenno de Winter: SaaS druist in tegen AVG / GDPR

clouddiensten cloud, cloudomgevingen

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om persoonsgegevens goed te beveiligen. Wie dienstverleners inzet, moet met hen heldere afspraken hebben. Maar bij SaaS – software uit de cloud – druist dat in tegen de kern van het businessmodel. Een onoplosbaar probleem?

De verordening verwoordt het mooi. Wie bij de verwerking van persoonsgegevens het doel (waarom deze gegevens worden verwerkt) en de middelen bepaalt (de wijze van verwerking) is ‘verwerkingsverantwoordelijke’ of kortweg: verantwoordelijke. Is er een derde partij ingehuurd om de verwerking voor een deel of helemaal uit te voeren, dan is die de verwerker.

Als het verkeerd gaat, klopt de toezichthouder in eerste instantie aan bij de verantwoordelijke. Datzelfde zal ook de betrokkene (de persoon over wie de gegevens gaan) doen. Dat betekent uiteraard niet dat de verwerker maar kan doen en laten wat hij wil. Ook de verwerker moet zich aan eisen van de wetgever houden en kan rekenen op toezicht. Wanneer hij er een potje van maakt, dan zal de Autoriteit Persoonsgegevens ingrijpen. Dat was al het geval onder de Wet bescherming persoonsgegevens (Wbp) en dat blijft zo in de nieuwe situatie.

In het verleden heeft de toezichthouder dat ook al bewezen in het geval van een bedrijf dat verzuimregistratie deed. De beveiliging van de administratie was een janboel, waarbij het vrij eenvoudig was om gegevens te stelen uit de database. Door de uitzonderlijke situatie werd toen eerst de verwerker en niet de verantwoordelijke aangesproken. Maar ook hier zijn ervaringen uit het verleden geen garantie voor de toekomst.

 

Maatwerk of standaard?

Om de relatie tussen verantwoordelijke en verwerker goed te regelen vraagt de AVG dat de partijen een verwerkersovereenkomst sluiten. De verantwoordelijke legt uit hoe deze verwacht dat er met de persoonsgegevens wordt omgesprongen en de verwerker belooft dat te doen. Verplicht onderdeel daarbij is de toelichting over de manier waarop de gegevens worden beveiligd.

Daarnaast verwacht de wetgever ook dat de opdrachtgever de verantwoordelijkheid neemt en erop toeziet dat de juiste maatregelen worden genomen. Een manier om dat te regelen is om gebruik te maken van de diensten van een auditor, die toetst of de verwerker nog compliant is. Dat bespaart de verantwoordelijke veel werk, er is controle op de bescherming van bedrijfsgeheimen bij de verwerker en het garandeert een hoger niveau van expertise.

Wie gebruikmaakt van clouddienstverleners (zeker bij SaaS) loopt in dit kader al snel aan tegen praktische problemen.

Lees het hele verhaal online of in ICT/Magazine van mei.

 

 

Gerelateerde berichten...