AVG compliancy voor Service Providers

Geplaatst op 12 April 2018 NIEUWS

Tijdens het Tier IV-event van NLDC en ISPConnect werd stilgestaan bij de nieuwe Europese privacywetging, de General Data Protection Regulation of Algemene Verordening Gegevensbescherming (AVG) in het Nederlands. Jaime Boogaers, advocaat gespecialiseerd in ICT en privacy, lichtte toe waar hosting- en cloud providers aan moeten voldoen.

Er is al veel gezegd en geschreven over de AVG en de deadline om er aan te voldoen (25 mei) komt snel in zicht. Toch blijft er behoefte aan voorlichting, want de wetgeving is complex en veel is onduidelijk. De AVG is in het leven geroepen om de privacy wetgeving in de EU te harmoniseren. Alle EU-burgers krijgen daardoor dezelfde privacy rechten. De AVG vervangt een verouderde Europese richtlijn, die nog niet was toegesneden op de digitale samenleving en economie.

Hosting- en cloudproviders verwerken vaak privacygevoelige data voor hun klanten. Onder de AVG moeten hier verwerkersovereenkomsten voor gesloten worden, waarmee de verantwoordelijkheden van de verwerker en verwerkingsverantwoordelijke worden vastgelegd. De verwerkingsverantwoordelijke is degene die de persoonsgegevens verzameld en draagt eindverantwoordelijkheid voor de correcte verzameling, opslag, beheer en verwijdering van persoonsgegevens. De verwerker voert in opdracht van de verantwoordelijke bepaalde handelingen uit. In het geval van hosting- en cloudproviders gaat het bijvoorbeeld om de opslag van persoonsgegevens.

De AVG voorziet in flinke boetes als de wetgeving niet juist wordt nageleefd. Dit gegeven is vaak gebruikt om angst te zaaien door allerlei partijen die in de AVG een verdienmodel zien. Maar het is de vraag of de Autoriteit Persoonsgegevens (AP), die de AVG handhaaft, vaak boetes zal opleggen. Bovendien zullen hoge boetes alleen worden opgelegd bij herhaaldelijke overtreding van de AVG of grove en verwijtbare nalatigheid. Partijen die alles in het werk hebben gesteld om te voldoen maar onverhoopt toch een overtreding maken, worden niet direct zwaar gestraft. Daarnaast zal de AP zich naar verwachting in eerste instantie vooral richten op partijen die massaal data verzamelen en overheden zoals gemeenten, die vaak hun beveiliging niet goed op orde hebben met veel datalekken tot gevolg.

De vereisten voor correcte verwerking onder de AVG zijn als volgt: 

  • Het doel van de verwerking moet specifiek zijn en gerechtvaardigd.
  • Verantwoorden waarom je bepaalde gegevens nodig hebt – denk aan bijvoorbeeld gegevens van een legitimatiebewijs om een datacenter binnen te kunnen komen.
  • Verzameling van persoonsgegevens mag niet zomaar.
  • Processen en de juiste omgang met persoonsgegevens moet aangetoond kunnen worden.

Daarnaast moet een verwerkingsregister worden bijgehouden, gebaseerd op een classificatie van het type data dat wordt verwerkt, de grondslag voor die verwerking en een audit trail voor de verkrijging van toestemming voor het verwerken van de data. Het kan helpen om een privacy impact assessment op te laten stellen. Daarnaast is ‘privacy by design’ een vereiste: applicaties moeten zo zijn ontworpen dat de privacy van gebruikers direct is gewaarborgd volgens de richtlijnen van de AVG. In het geval van een datalek moet deze binnen 72 uur worden gemeld bij de AP en bestaat de verplichting om medewerking te verlenen aan een onderzoek.

Uiteindelijk is voldoen aan de AVG een kwestie van de op de hoogte zijn van de regels die van toepassing zijn op de specifieke situatie en het gebruiken van het gezonde verstand. Belangrijk is daarbij om heldere afspraken te maken over verantwoordelijkheden en rechten en plichten.