De kosten en inspanningen om aan de vereisten uit de Algemene Verordening Gegevensbescherming (AVG) te voldoen, liggen niet volledig op het bord van Europese bedrijven. In voorkomend geval kan de AVG ook rechtstreeks van toepassing zijn op bedrijven die niet in de EU zijn gevestigd.
De AVG kent een systematiek waarin er een ‘verwerkingsverantwoordelijke’ is die het doel en de middelen van een gegevensverwerking bepaalt. Daarnaast is er de ‘verwerker’. Deze schakelt de verwerkingsverantwoordelijke in om gegevens te verwerken. Op deze verwerker rusten ingevolge artikel 28 AVG ook verplichtingen.
De verwerkingsverantwoordelijke mag ingevolge artikel 28 lid 1 alleen beroep doen op verwerkers die voldoende garanties bieden zodat de verwerking aan de AVG voldoet.
Verwerkersovereenkomst
In artikel 28 lid 3 wordt verder bepaald dat tussen beide partijen een overeenkomst wordt opgesteld waarin de verplichtingen van de verwerker komen te staan: de ‘verwerkersovereenkomst’.
Hierin wordt onder meer vastgelegd welke instructies de verwerker krijgt om de gegevens te verwerken, welke beveiligingsmaatregelen moeten worden genomen en hoe de rechten van betrokkenen worden geëffectueerd.
Als een verwerker in strijd met de AVG zelf de doeleinden en middelen van een verwerking bepaalt, moet die partij zelf als verwerkingsverantwoordelijke worden beschouwd.
De AVG kent dus een systeem waarin de verantwoordelijkheden en verplichtingen verdeeld zijn over betrokken partijen.
Afnemer clouddiensten
De verwerkersovereenkomst kan per verwerking die ten behoeve van de verwerkingsverantwoordelijke wordt verricht verschillen. Hoewel dit maakt dat een algemene gevolgtrekking over de onderhandelingspositie lastig ligt, is dit wel de kern van de problematiek waar veel Nederlandse afnemers van clouddiensten mee worden geconfronteerd.
Het standaardcontract van de leverancier biedt de afnemer niet altijd de noodzakelijke garanties die het ingevolge artikel 28 lid 1 nodig heeft. Sommige diensten worden geleverd door een aantal grote spelers die niet altijd bereid zijn het individuele contract aan de noden van de afnemer aan te passen.
Het is de overheid wel gelukt om AVG-maatwerk af te dwingen in relatie met een leverancier van clouddiensten. Bedrijven zitten echter niet in eenzelfde goede onderhandelingspositie verkeren en kunnen dit dus niet altijd afdwingen.
AVG-compliant
Partijen die in de EU zijn gevestigd en gegevens verwerken moeten voldoen aan de vereisten uit de AVG. In voorkomend geval kunnen ook partijen die niet in de EU zijn gevestigd onder het toepassingsgebied van de AVG vallen. Als zij als verwerkingsverantwoordelijke of verwerker de AVG schenden kunnen de toezichthouders hierop handhaven. Softwarebedrijven die niet conform de AVG handelen kunnen dus al worden aangepakt.
In voorkomende gevallen kan het echter zo zijn dat de leverancier de dienst AVG-compliant aanbiedt, maar dat een organisatie die de dienst wil afnemen deze niet AVG-compliant kan toepassen. Dit kan optreden in situaties waarin leveranciers gegevens ook willen verwerken voor andere doelen. Dit is soms ook onderdeel van hun verdienmodel. Zolang de leverancier transparant is over deze doelen en de leverancier zélf een rechtmatige verwerkingsgrondslag heeft, kan de dienst AVG-compliant zijn.
Per geval zal dus moeten worden bekeken of een dienst op rechtmatige wijze in gebruik genomen kan worden. Het is dan ook niet in alle gevallen mogelijk om bij toegang tot de Europese markt te bepalen of software aan de AVG-eisen voldoet.
Eigen systematiek
De AVG biedt een eigen systematiek voor de verdeling van verantwoordelijkheden bij het verwerken van persoonsgegevens. Deze verdeling kan naar gelang het handelen van betrokken partijen veranderen: als de verwerker zich gaat gedragen als de partij die zelfstandig bepaalt dat het gegevens gaat verwerken, moet deze partij als verwerkingsverantwoordelijke worden aangesproken.
Basis van dit systeem is wel dat de partij die de gegevens van burgers verwerkt en bepaalt wat daarmee gebeurt verantwoordelijk – en daarmee aanspreekbaar – blijft voor de verwerking.
Het is uiteindelijk aan de Autoriteit Persoonsgegevens om te bepalen ten aanzien van welke partij(en) zij handhavend optreedt.
Voldoen aan AVG
Het is volgens de minister te kort door de bocht om te stellen dat aanbieders van clouddiensten niet aan de AVG zouden voldoen, of hun klanten niet in staat willen stellen om aan de AVG te voldoen. Wel kan het vooral voor kleinere bedrijven lastig en kostbaar zijn om te vergewissen hoe de dienst van een potentiële verwerker precies functioneert, om vervolgens aangepaste voorwaarden af te dwingen om de dienst tóch af te kunnen nemen.
Solide onderzoek (DPIA)
De Nederlandse overheid heeft middelen tot haar beschikking om solide onderzoek te verrichten naar de werking van bepaalde softwarepakketten, bijvoorbeeld door het uitvoeren van een Data Protection Impact Assessment (DPIA), om op basis daarvan in kaart te brengen hoe de verwerkersovereenkomst vorm moet krijgen. Voorbeeld hiervan betreft de DPIA naar Google G Suite Enterprise.
Door het systematisch beoordelen van dergelijke softwarepakketten door de overheid en de AP wordt duidelijkheid verschaft over de mate waarin het gebruik mogelijk is binnen de grenzen van de AVG.
Dekker verwacht dat leveranciers eventuele geconstateerde risico’s serieus nemen en met de Nederlandse overheid zullen werken aan het gezamenlijk aanpakken daarvan. Het is van belang te benadrukken dat in dit geval dus geen sprake is van het gezamenlijk werken aan of ontwikkelen van softwarepakketten. Het is volgens de minister dan ook terecht dat de overheid geen ‘eigenaar’ van de software is. Wel kunnen overheden en private partijen in de toekomst mogelijk profiteren van het werk dat voor deze DPIA’s wordt verricht en van eventuele aanpassingen die als gevolg daarvan aan contracten worden gedaan.
Eenduidig en efficiënt
De Online Trust Coalitie (OTC) zet in op het ontwikkelen van eenduidige, efficiënte methode waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn, en die afnemers de gewenste duidelijkheid geeft bij de invulling van de relevante wet- en regelgeving, zoals de AVG.