De softwareleverancier en de datalekken

De softwareleverancier en de datalekken

Vanaf begin dit jaar is de ‘Wet Datalekken’ van kracht. In feite gaat het om een nieuwe meldplicht voor datalekken die is opgenomen in de Wet bescherming persoonsgegevens. Een wetswijziging die veel vragen oproept in de dagelijkse praktijk. Er is veel aandacht voor de mogelijkheid een boete op te lopen, maar er is minder aandacht geweest voor de rolverdeling tussen de softwareleverancier en haar klant.

De verantwoordelijke en de Bewerker

In het kader van de meldplicht zijn er twee hoofdrolspelers: de Verantwoordelijke en de Bewerker.

De Verantwoordelijke is degene die bepaalt welke persoonsgegevens worden vastgelegd, waar die worden vastgelegd en wat daarmee gebeurt. De Verantwoordelijke is de klant: een overheidsorganisatie, een private onderneming of een particulier.

De Verantwoordelijke kan persoonsgegevens laten verwerken door een andere partij. Dit gebeurt bijvoorbeeld als een salarisadministratie wordt uitbesteed, of als de Verantwoordelijke haar klanten laat benaderen door een marketingbureau. Degene die namens de Verantwoordelijke persoonsgegevens verwerkt is de Bewerker.

De Verantwoordelijke is verantwoordelijk voor een adequate beveiliging van de persoonsgegevens. Dat was al zo vóór deze wetswijziging. Nieuw is dat als deze beveiliging wordt doorbroken en er sprake is van een ‘ernstig’ lek, de Verantwoordelijke dat datalek moet melden. Als de Verantwoordelijke geen melding doet als dat wel had gemoeten kan er een boete worden opgelegd.

Het is logisch dat de Verantwoordelijke goede afspraken moet maken met de Bewerker voor als er een datalek ontstaat bij de Bewerker. De Verantwoordelijke moet de melding doen en loopt kans een boete te krijgen en zij zal dus eisen dat de Bewerker een datalek meteen aan haar meldt zodat zij de formele melding kan doen aan de Autoriteit Persoonsgegevens. Uiteraard (maar dat was al zo) zal de Verantwoordelijke ook eisen dat de Bewerker een adequaat beveiligingsniveau garandeert om datalekken te voorkomen.

Deze afspraken worden vastgelegd in een ‘bewerkersovereenkomst’ tussen de Verantwoordelijke en de Bewerker. In de praktijk zien wij nu dus dat onze klanten met ons bewerkersovereenkomsten willen sluiten.

To be or not to be

Dan ontstaat de hamvraag: is een softwareleverancier een Bewerker in de zin van de Wbp? Die vraag blijkt best moeilijk te beantwoorden.

Bij het bewerken gaat het echt om een dienst. De Bewerker moet namens de Verantwoordelijke handelingen verrichten op de persoonsgegevens. In het voorbeeld van de salarisverwerking is dat natuurlijk het geval. En in het geval de softwareleverancier een clouddienst aanbiedt is dat ook het geval: dan is de softwareleverancier immers verantwoordelijk voor opslag, backup en het updaten van de software. Van uw cloudleverancier mag u ook verwachten dat hij beveiligingsrisico’s dicht en eventuele datalekken kan constateren.

Maar hoe is de rolverdeling als u geen gebruik maakt van een clouddienst, maar van een softwareproduct dat binnen uw ICT-omgeving (‘lokaal’) wordt gebruikt?

In deze situatie is de softwareleverancier geen Bewerker. Simpel gezegd kan hij niet ‘bij’ de persoonsgegevens en is hij ook niet verantwoordelijk voor zaken als opslag en backup. Belangrijker is dat in dit geval de softwareleverancier niet verantwoordelijk is voor de beveiliging van de infrastructuur en eventuele inbreuken in die infrastructuur ook niet kan detecteren. Als er sprake is van een lokale installatie is er sprake van de levering van een product – een gereedschap waarmee de Verantwoordelijke persoonsgegevens kan verwerken. Er is echter geen sprake van een dienst – van het bewerken van persoonsgegevens namens de Verantwoordelijke.

Voor de Verantwoordelijke betekent dit dat er alleen een bewerkersovereenkomst hoeft te worden afgesloten met een softwareleverancier als er clouddiensten worden geleverd – als het beheer van gegevens is uitbesteed aan de leverancier. In het geval er gebruik wordt gemaakt van lokaal geïnstalleerde software hoeft dit niet, omdat het dan gaat om de Verantwoordelijke die zelf de bewerkingen doet.

Decos

De meldplicht Datalekken verdeelt het speelveld dus in clouddiensten en softwareproducten. Als u een bewerkersovereenkomst voorlegt aan Decos krijgt u wellicht de reactie dat wij de toepassing daarvan willen beperken tot de clouddiensten die u afneemt. Dat doen wij niet omdat wij een ander beveiligingsniveau bieden voor onze lokale producten (zoals JOIN Z&D of JOIN JKC) maar omdat wij bij lokale installaties geen Bewerker zijn. En dus ook geen datalek kunnen constateren of melden.

Tweet about this on TwitterShare on LinkedInShare on FacebookEmail this to someoneShare on Google+

Frans Dondorp

alles bekijken
Leave a comment
De softwareleverancier en de datalekken – Decos Blog • 2 weken ago

[…] Bron: De softwareleverancier en de datalekken – Decos Blog […]

reply
Sven Blom • 2 jaar ago

Dag Frans, Een mooi, open artikel. Erg helder en nuttig. Ik vraag mij wel af hoe het zit bij een lokale installatie als de leverancier (incidenteel) beheer uitvoert op de software. Bijvoorbeeld bij incidenten of updates / upgrades. Is in dat geval de leverancier ook niet (tijdelijk) een bewerker?

reply
Frans Dondorp • 2 jaar ago

Hoi Sven, Daar begeef je je in het grijze gebied van de nuances. De essentie is dat de leverancier persoonsgegevens moet verwerken om een Bewerker te zijn. Het is met andere woorden afhankelijk van de opdracht aan de leverancier. Als de leverancier de software update of de configuratie aanpast wordt er onderhoud gepleegd aan een geleverd product. De werkzaamheden zijn dan niet gericht op het verwerken van persoonsgegevens en er is ook geen opdracht voor het verwerken namens de Verantwoordelijke. In dit geval zal het expliciet niet de bedoeling zijn dat de leverancier de aanwezige gegevens verwerkt – het gaat immers om werkzaamheden aan de doos en niet aan de inhoud. Uiteraard is de leverancier wel gehouden aan een geheimhoudingsplicht voor de gegevens die hij ziet. Als er persoonsgegevens verloren gaan of blootgesteld worden zou de leverancier dat moeten melden als schade ten gevolge van verricht onderhoud. Het is onwaarschijnlijk dat deze schade onherstelbaar is omdat dit soort werkzaamheden eerst in een testomgeving worden uitgevoerd. Het risico op een incident is daarom klein en het risico op een datalek nog kleiner. Het risico op een datalek met een meldplicht voor de Verantwoordelijke lijkt mij miniem. De situatie is anders als de leverancier een operatie op de gegevens uitvoert – zoals een conversie. Dan is de leverancier gericht (persoons)gegevens aan het verwerken ten behoeve van de Verantwoordelijke – en dat is de definitie van een Bewerker. Ook hier is het risico dat er onherstelbare schade optreedt miniem, omdat ook hier eerst een testconversie wordt uitgevoerd die de opdrachtgever moet accepteren. Hier doet de Verantwoordelijke er wel goed aan om een bewerkersovereenkomst te sluiten voor de beveiliging van de aangeleverde dataset en de procedurele afspraken rond de behandeling en vernietiging daarvan. Is dat een antwoord op jouw vraag? grt, Frans

reply

Wees beleefd. Dat stellen wij zeer op prijs.

By Daniele Zedda • 18 February

← PREV POST

By Daniele Zedda • 18 February

NEXT POST → 34
Share on