DHPA: ‘De GDPR gaat ons allemaal raken’DHPA: ‘De GDPR gaat ons allemaal raken’DHPA: ‘De GDPR gaat ons allemaal raken’
18-04-2017 | door: Dick Schievels

DHPA: ‘De GDPR gaat ons allemaal raken’

Op 25 mei 2018 wordt onze nationale Wet bescherming persoonsgegevens (Wbp) vervangen door de Europese General Data Protection Regulation (GDPR), op z’n Nederlands Algemene Verordening Gegevensbescherming (AVG) geheten. Stichting Dutch Hosting Provider Association (DHPA) organiseerde een netwerkbijeenkomst over, gehost door juridisch adviesbureau ICTRecht te Amsterdam.

DHPA-directeur Ruud Alaerds windt er tijdens zijn korte openingspresentatie geen doekjes om: “De GDPR gaat ons allemaal raken en kan onze business ingrijpend veranderen”, waarschuwt hij. “We zijn ons als DHPA op dit terrein stevig aan het oriënteren, vandaar deze netwerkbijeenkomst bij ICTRecht.” Alaerds schotelt de goed gevulde zaal een programma voor waarin de DHPA-partners Commvault en Vanbreda Risks & Benefits de twee afsluitende presentaties verzorgen. Commvault (leverancier van software voor data- en informatiemanagement) over de technische uitdagingen die de GDPR met zich meebrengt, en Vanbreda over welke risico’s organisaties met een verzekering kunnen afdekken indien zich bij hen een datalek voordoet. De presentatie die echter centraal staat tijdens de bijeenkomst, is die van Peter Kager, juridisch adviseur en manager privacy bij ICTRecht. Onderbroken door een korte pauze onderricht hij zijn gehoor anderhalf uur lang over de impact van de nieuwe GDPR/AVG op de internetsector.

Hert belang van de GDPR

De presentatie van Kager heeft een sterk interactief karakter, waaruit blijkt dat er bij de aanwezige hostingproviders rond de GDPR nog een hoop onbeantwoorde vragen leven. Kager schetst allereerst de voorgeschiedenis van de nieuwe verordening. Op basis van de in 1995 opgestelde Europese privacyrichtlijn stelde ieder lid van de Europese Unie zijn eigen privacywetgeving al flink bij. Bij ons leidde dat in 2000 tot de Wbp, de Wet bescherming persoonsgegevens.

Onder meer vanwege de steeds sneller veranderende techniek en het almaar toenemende grensoverschrijdende handelsverkeer besloot men vier jaar geleden de Europese privacywetgeving verder te harmoniseren middels een zogeheten ‘verordening’, die het karakter heeft van een wet. Het eerste voorstel voor zo’n Europees-brede verordening (GDPR gedoopt: General Data Protection Regulation) stamt van vier jaar geleden. Op dat voorstel kwamen maar liefst vierduizend wijzigingsvoorstellen. “Dat is voor juridische begrippen gigantisch”, zegt Kager, “en het tekent direct het belang van de GDPR.”

De GDPR/AVG werd 25 mei 2016 reeds van kracht, maar handhaving ervan gaat pas in op 25 mei 2018. Organisaties hebben dus twee jaar de tijd gekregen om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Nog maar weinig bedrijven zijn daarmee serieus aan de slag, is Kagers ervaring. “U móet zich nu gaan voorbereiden op die wet, want anders gaat u 25 mei 2018 gegarandeerd niet halen”, waarschuwt hij. “De verplichtingen die de nieuwe wet met zich meebrengt, vormen echt een uitdaging.”

Verruiming definitie ‘persoonsgegeven’

We doen hier een kleine greep uit de door Kager gepresenteerde veranderingen. Allereerst wordt de definitie van ‘persoonsgegeven’ een stuk verder opgerekt. Dat is belangrijk, want het feit dat iets als een persoonsgegeven kan worden aangemerkt, maakt dat de AVG van toepassing is. Anders dan in de Wbp worden nu ook gegevens die indirect tot identificatie van een persoon kunnen leiden als persoonsgegeven bestempeld. Dat maakt bijvoorbeeld een IP-adres tot een persoonsgegeven, zegt Kager. En hetzelfde geldt voor cookies waarin persoonsgegevens verwerkt worden. Nieuw is ook dat locatiegegevens nu expliciet in de wet zijn opgenomen als mogelijke persoonsgegevens.

Wel of geen verwerker?

Er zijn binnen de AVG drie rollen gedefinieerd. Ten eerste is er ‘de betrokkene’: degene van wie de persoonsgegevens zijn, of op wie ze betrekking hebben. Dan is er ‘de verwerkingsverantwoordelijke’, die bepaalt wat er met de gegevens gebeurt, waarom dat gebeurt en hoe dat gebeurt. En ten derde heb je ‘de verwerker’, die door de verwerkingsverantwoordelijke wordt ingeschakeld en uitsluitend in diens opdracht de persoonsgegevens verwerkt. Die rol zal in veel gevallen op de hostingprovider of cloudleverancier van toepassing zijn, houdt Kager zijn gehoor voor. “Verwerken van persoonsgegevens definieert de wet als alles wat je met persoonsgegevens kunt doen. Dus zaken als opslaan, doorgeven, organiseren, verwijderen, et cetera. En op het moment dat je dat soort zaken doet, is heel die wet van toepassing.”

Belangrijke vraag is: ben ik voor de wet wel of niet als verwerker aan te merken, zegt Kager. Want als je verwerker bent, dan brengt dat de nodige verplichtingen en administratieve rompslomp met zich mee. “Veel hosters zullen zeggen: ik ben geen verwerker, want ik kan totaal geen invloed op die data uitoefenen. En dat is precies het criterium: kun jij op enig moment feitelijke invloed uitoefenen op die persoonsgegevens. Niet relevant is of die invloed ook daadwérkelijk wordt uitgeoefend”.

Kager geeft het voorbeeld van een telecomoperator die enkel en alleen gegevens doorsluist. Hij verwerkt daarmee geen persoonsgegevens. Maar wanneer een internetserviceprovider bijvoorbeeld de mogelijkheid heeft het verspreiden van onrechtmatige berichten tegen te gaan, is er wel sprake van mogelijke invloed en daarmee van gegevensverwerking. Dus is in dat geval de wet volledig van toepassing.

De bewerkersovereenkomst

Kager ruimt flink wat ruimte in voor de zogeheten bewerkersovereenkomst. Dat is een onmisbaar en wettelijk verplicht, juridisch document, waarmee iedere partij die als verwerker optreedt te maken krijgt. De verplichting bestond al, maar is nu veel explicieter opgenomen in de wet, aldus Kager. En wie zo’n overeenkomst niet kan tonen, krijgt nu een boete. In principe moet de verantwoordelijke zo’n overeenkomst initiëren.

Daar moeten zaken in staan als: wat doe je precies en voor wie, wat voor soort persoonsgegevens betreft het (er worden in de wet naast gewone ook nog bijzondere persoonsgegevens onderscheiden, die extra zorgvuldigheid vereisen), wie zijn de betrokkenen, wat zijn de rechten en plichten, enzovoorts. Daarnaast word je geacht ‘gepaste’ beveiligingsmaatregelen te nemen, en daar moet je specifiek in zijn. Je moet uitschrijven wat voor categorieën van beveiligingsmaatregelen dat precies betreft: inloghandelingen, fysieke controlemaatregelen, dataminimalisatie, et cetera.

Nieuw is de expliciet vermelde verplichting dat het inschakelen van sub-verwerkers alleen mag na toestemming van de verantwoordelijke. Dat kun je niet meer zelfstandig bepalen. “Als je een paar honderd klanten hebt in je datacenter, dan is dat een uitdaging, maar gelukkig zegt de AVG dat je kunt werken met een algemene vorm van toestemming. Bijvoorbeeld door in je bewerkersovereenkomst al op te nemen met welke derde partijen je werkt. En als een klant dat niet wil, dan moet je daarvoor een oplossing zoeken of je moet afscheid van elkaar nemen.”

Ook nieuw: als je van een klant een opdracht krijgt die in strijd is met de wet, dan moet je je klant daarover informeren. Dat betekent dus een zorgplicht voor de verwerker. Verder moet de verantwoordelijke kunnen controleren of wat is afgesproken ook daadwerkelijk wordt uitgevoerd. “Daar kun je heel veel juridisch getouwtrek over krijgen”, waarschuwt Kager. “Want wie gaat die audit uitvoeren, hoe vaak mag dat, wat kost dat, wie betaalt dat, wat gaan we auditen… Dus ook dat soort dingen leg je vast in zo’n bewerkersovereenkomst.”

Datalekken

Tot slot nog iets over datalekken. Sinds 1 januari 2016 is in Nederland de zogeheten ‘meldplicht datalekken’ aan de Wbp toegevoegd. Daarin gaat bij invoering van de AVG een belangrijk punt veranderen. Vooralsnog geldt een incident als een datalek indien persoonsgegevens verloren zijn gegaan, óf indien onrechtmatige verwerking niet is uit te sluiten. Met de invoering van de AVG moet die onrechtmatige verwerking straks zéker hebben plaatsgevonden. “De verantwoordelijke moet die melding doen, maar de AVG legt ook op de verwerker straks de verplichting (die bestaat nu nog niet) om aan de verantwoordelijke te melden dat er bij hem een incident heeft plaatsgevonden.”

Een datalek dient onverwijld aan de Autoriteit Persoonsgegevens te worden gemeld. Lap je dit aan je laars, dan kunnen de nieuwe, verzwaarde sancties oplopen tot een boete van 20 miljoen euro, of 4 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is!

Bekijk hier de video 'DHPA en ICTRecht informeren hosters over juridische aspecten van de GDPR'

Door: Dick Schievels

Terug naar nieuws overzicht
Datacenter