Het besluit opeens te gaan insourcen, is een verkeerde reflex op de aanstaande Algemene Verordening Gegevensbescherming.

De effecten van de Algemene Verordening Gegevensbescherming worden zichtbaar. De tijd begint te dringen: 25 mei 2018 is de deadline. Veel bedrijven schieten in een kramp. Michiel Steltman geeft drie voorbeelden van verkeerde reflexen, mythen en onjuiste interpretaties van de verordening.

De GDPR (General Data Protection Regulation) houdt de gemoederen flink bezig. Het is wel vaker zo dat bedrijven pas in actie komen als het 5 voor 12 is.

De GDPR, de Nederlandse vertaling is AVG, (Algemene Verordening Gegevensbescherming) is al in werking sinds 25 mei 2016 en vanaf 25 mei 2018 wordt er actief gehandhaafd. Naast de Europese GDPR/AVG komt er de Nederlandse Uitvoeringswet Algemene Verordening Gegevensverwerking (UAVG) die details toevoegt in de ruimte die de AVG biedt om die op lokale regelgeving af te stemmen. Beide vervangen de huidige Wet bescherming persoonsgegevens (Wbp).

DEFINITIES

De GDPR is effectief voor alle EU-lidstaten, en voor iedereen, wereldwijd, die persoonsgegevens verwerkt van Europese burgers. Vanaf 25 mei 2018 wordt gehandhaafd. De belangrijkste definities zijn:

 

  • Personal data (persoonsgegevens): alle data die direct of indirect herleidbaar zijn naar een natuurlijk persoon. Dat is heel breed: een foto, e-mailadres, kenteken en zelfs IP-adressen of hostnamen kunnen persoonsgegevens zijn.
  • Controller (verwerkingsverantwoordelijke): degene die persoonsgegevens verzamelt en verwerkt, en doel, condities en middelen voor de verwerking bepaalt.
  • Processor (verwerker): iedereen die gegevens verwerkt in opdracht van de controller.
  • Verwerking: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

 

De kern van de AVG is de aanscherping van regie voor organisaties die persoonsgegevens verzamelen en verwerken. De AVG noemt die de ‘verwerkingsverantwoordelijken’. Die moeten ervoor zorgen dat de rechten van de betrokkene, dat is degene wiens persoonsgegevens het betreft, worden nageleefd. Ze moeten daarvoor maatregelen invoeren in de eigen organisatie. En moeten weten hoe het zit bij alle andere verwerkers: de partijen die toegang hebben tot de door hen verzamelde data. Als het toch misgaat, dan zijn zij aansprakelijk. Bij nalatigheid liggen forse boetes op de loer.

Mythen

Die bescherming van privacyrechten is prima. Vertrouwen van consumenten is essentieel voor de digitale economie. Maar de 99 artikelen in de AVG leveren degenen die nu nog niets hebben georganiseerd wel hoofdpijn op. Onder andere door interpretaties van de AVG die lijken te conflicteren met de manier waarop we outsourcen. Sommige van die interpretaties zijn zelfs een rechtstreekse bedreiging voor één van Nederlands snelst groeiende businessmodellen: hosting, cloud en andere vormen van generieke sourcing. Uiteraard heeft de Europese Commissie niet besloten dat gebruik van cloud niet langer mag. Maar hoe zit het dan wel? Drie voorbeelden van verkeerde reflexen, mythen en onjuiste interpretaties op dit gebied.

1. Waar staat de harde schijf?

De vraag ‘Hoe staat het met de compliance?’ gaat vaak hand in hand met de vraag ‘waar staan mijn data?’. Maar de locatie van de harde schijf speelt feitelijk geen rol. Die vraag is gebaseerd op de wat naïeve aanname dat ook landsgrenzen bescherming bieden tegen toegang door onbevoegden, zoals inlichtingendiensten. Het gaat om de juridische zekerheden die een leverancier kan bieden. De AVG geldt voor iedereen, wereldwijd, die persoonsgegevens van Europese burgers verwerkt. Als dienstverleners waar ook ter wereld verklaren zich te conformeren aan de AVG en je kunt redelijkerwijs aannemen en aantonen dat ze dat ook waar kunnen maken, dan is er niets aan de hand. Zo is dat bijvoorbeeld geregeld in het Privacy Shield dat ervoor zorgt dat Amerikaanse bedrijven zich kunnen conformeren aan de Europese privacywetgeving. Uiteraard geven de ontwikkelingen in de VS aanleiding tot zorgen. Maar zolang het Privacy Shield effectief is, is er geen reden voor paniek.

Het benadrukken van landsgrenzen in plaats van juridische grenzen leidt de aandacht af van veel belangrijker zaken. Zoals de concrete invulling van informatieveiligheid. Bovendien werkt het balkanisering van het internet in de hand. Het belemmeren van de ‘free flow of data’ is uiteindelijk in niemands belang.

2. Kan ik nog wel een cloudprovider gebruiken?

Een vraag die vaak wordt gesteld is ‘Is het nog wel mogelijk om gebruik te maken van een generieke dienst, zoals een public cloud?’. Er zijn juristen die stellen dat je daarmee niet voldoet aan de AVG. En er zijn berichten die aanleiding geven tot zorgen. Uit een survey van SkyHigh networks onder 20.000 serviceproviders blijkt dat slechts 6 procent alle maatregelen die de AVG voorschrijft, volledig heeft doorgevoerd. Maar mag daaruit geconcludeerd worden dat cloud het risico is? Bij verder inzoomen op het survey blijkt dat het niet gaat om de informatieveiligheid maar om zaken die eenvoudig kunnen worden gerepareerd, zoals het snel verwijderen van data na verzoek.

De locatie van de harde schijf speelt geen rol

Uit een andere survey, van Dell, blijkt dat maar liefst 97 procent van de verantwoordelijken nog geen plannen heeft gemaakt voor de AVG. Hier speelt blijkbaar de ‘illusie van control’ een rol. Vergelijk het met de zelfrijdende auto. Ben ik ‘in control’ als ik de auto laat rijden in plaats van zelf achter het stuur te zitten? Het voelt van niet, maar de auto rijdt met mij achterin waarschijnlijk veiliger dan met mij achter het stuur. Het werkt precies zo bij sourcing. Een survey van IDG laat zien dat 60 procent van de bedrijven bewijs van hun provider eist. We stellen, net als bij de zelfrijdende auto, hogere eisen aan die andere partij dan aan onszelf. De certificeringsgraad bij professionele providers is dan ook hoog. Als het in eigen hand ligt, lijken de risico’s ineens veel kleiner, terwijl dat natuurlijk niet het geval is. Vanwege de AVG ineens gaan insourcen, is dus een verkeerde reflex.

3. Moet ik een aparte verwerkersovereenkomst afsluiten?

De AVG verplicht verantwoordelijken met hun leveranciers afspraken te maken over de verwerking. Die moeten worden vastgelegd in een verwerkersovereenkomst. Afnemers maken daar handig gebruik van. Onder commerciële tijdsdruk en met het argument ‘het staat in de wet’ wordt de leverancier opgezadeld met eenzijdige bepalingen. Sylvia Huydecoper van Nederland ICT legt de vinger op de zere plek: ‘Veel klanten van IT-leveranciers sturen ineens een uitgebreide bewerkersovereenkomst waarmee de hele ICT-overeenkomst in feite wordt opengebroken en alsnog via de achterdeur van die bewerkersovereenkomst bepaalde (contractuele) voordelen voor de klant worden verkregen. Zo worden, gratis en voor niks, zware beveiligingseisen geïntroduceerd en worden alle risico’s en aansprakelijkheden, inclusief boetes bij de leverancier gelegd, in afwijking van de oorspronkelijk overeengekomen voorwaarden.’

Met zo’n eenzijdige aanpak schieten klanten zich uiteindelijk in de voet. Het kan leiden tot conflicten. Want wat van de ene klant op manier A moet, wil de andere klant op manier B. Dat staat haaks op het businessmodel van cloudproviders. Het kosten- en schaalvoordeel is geworteld in een generieke manier van werken en de eigen regie over hun diensten. Op enig moment komt die rekening dus weer terug bij de klant.

Er is niet besloten dat een cloud niet langer mag

Ook de verplichting om te controleren of een verwerker aan de afspraken voldoet, kan leiden tot problemen. Het wordt meestal vertaald als het recht om zelf audits te doen. Een datacenter met duizend klanten kan dan gemakkelijk even zoveel audits te verwerken krijgen. Dat zijn uitgaven voor auditors die allemaal precies hetzelfde komen controleren. En je kunt je afvragen of het voor de veiligheid wel zo’n goed idee is om legertjes mensen in de datacenters rond te laten lopen.

Gelukkig is een aparte verwerkerovereenkomst helemaal niet nodig, stelt ICT Jurist Arnoud Engelfriet. Dat geldt evenmin voor de slaafse verhouding. Een contract van de leverancier waarin de condities voor verwerking goed zijn geregeld, volstaat. Maar helaas zijn veel aanbieders rijkelijk laat met het op deze manier ontzorgen van hun klanten. De aandacht lijkt vooral uit te gaan naar technologie. Er is behoefte aan goede verwerkingsbepalingen in algemene voorwaarden, een aangepaste SLA, herbruikbare en vergelijkbare audit-verklaringen of dashboards die continu inzicht geven in de stand van zaken. Als dat alles achterwege blijft, roepen leveranciers maatwerk en eenzijdige contracten over zichzelf af.

Breed initiatief

Naar aanleiding van deze problemen zijn brancheorganisaties in beweging gekomen en hebben de handschoen opgepakt. Nederland ICT en de DHPA hebben modellen gemaakt voor verwerkers. En onder leiding van het ministerie van Economische Zaken wordt met een groot aantal partijen en in samenspraak met de AP (Autoriteit Persoonsgegevens) gewerkt aan een breed initiatief: ‘Partnering Trust’. Het doel is om onnodige regeldruk, juridisering en schade aan businessmodellen te voorkomen.

ECOSYSTEMEN

Trusted-Cloud (Duitsland), Label-cloud (Frankrijk) en Zeker-Online (Nederland) zijn initiatieven van de overheid en de markt. Ze hebben als doel het inrichten van ecosystemen waarin aanbieders en afnemers van online(deel)diensten hun veiligheid en kwaliteit zodanig inrichten dat ze op elkaar kunnen vertrouwen. Zo kunnen de deelnemende bedrijven gemakkelijk gebruik maken van elkaars diensten, contracten en audit-verklaringen, ook internationaal, zonder de noodzaak van het steeds opnieuw inrichten van complexe en kostbare juridische structuren. In Nederland worden activiteiten rond de systematiek gecoördineerd door de ministeries van Economische Zaken en Veiligheid & Justitie, onder leiding van het ECP.

Afnemers moeten zich terdege realiseren dat verkeerde interpretaties tot slechte keuzes kunnen leiden. En voor leveranciers biedt de AVG volop kansen om hun klanten te ontzorgen. Ik verwacht dat binnen twee jaar het stof zal zijn neergedaald. De bescherming van privacy is dan integraal onderdeel van de levering geworden. Verwerkingsbepalingen in leveringsvoorwaarden, SLA’s met afspraken over de uitvoering, herbruikbare audit reports en compliance dashboards zijn dan de gewoonste zaak van de wereld.


MICHIEL STELTMAN is directeur van de Stichting Digitale Infrastructuur Nederland. Hij brengt het belang van de Nederlandse digitale infrastructuur en de digitale economie onder de aandacht bij politiek, bestuur en het brede publiek.