De Algemene Verordening Gegevensbescherming (AVG) voorziet in de rollen van verwerkingsverantwoordelijke en verwerker, waarbij de verwerkingsverantwoordelijke het doel en de middelen bepaalt voor de verwerking van persoonsgegevens, de verwerker de persoonsgegevens namens en in opdracht van de verwerkingsverantwoordelijke verwerkt. De sub-verwerker is een derde partij die door de verwerker wordt ingeschakeld voor het uitvoeren van deel van de verwerkingsactiviteiten of specifieke verwerkingsactiviteit. Volgens de AVG moet een verwerker altijd voorafgaande schriftelijke toestemming verkrijgen van de verwerkingsverantwoordelijke voordat hij een sub-verwerker inschakelt of deze wijzigt.
In de praktijk wordt het verkrijgen van expliciete toestemming vaak omzeild door in de verwerkersovereenkomst op te nemen dat een enkele mededeling inzake de wijziging of inschakeling van de sub-verwerker door de verwerker voldoende is voor de verwerkingsverantwoordelijke om akkoord te gaan met de sub-verwerker, tenzij er binnen een bepaalde periode (bijvoorbeeld 14 dagen) bezwaar wordt gemaakt. Dit staat bekend als algemene toestemming, hetgeen is toegestaan volgens artikel 28 lid 2 AVG.
Uitdagingen bij het Verkrijgen van Expliciete Toestemming
In de praktijk kan het verkrijgen van expliciete toestemming soms een uitdaging zijn. Neem bijvoorbeeld een payrollbedrijf met doorgaans tientallen klanten. Voor deze klanten is het payrollbedrijf een verwerker. De klant is in dat geval verwerkingsverantwoordelijke ten aanzien van de persoonsgegevens van diens werknemers. Indien het payrollbedrijf een sub-verwerker wenst in te schakelen, bijvoorbeeld een nieuw CRM-systeem waarin o.a. de persoonsgegevens staan, heeft het payrollbedrijf daar conform de AVG-toestemming van haar klanten (de verwerkingsverantwoordelijken) voor nodig. Indien één van de vele klanten toestemming weigert, betekent dat in feite dat het payrollbedrijf deze sub-verwerker niet mag inschakelen.
Het belang van toestemming bij het inschakelen van sub-verwerkers
Eén enkele weigering gooit derhalve dus roet in het eten bij het inschakelen van een sub-verwerker. Vaak wordt er in de praktijk dus ook gewerkt met een constructie van algemene toestemming in combinatie met een bezwaarmogelijkheid, waarbij toestemming wordt geacht gegeven te zijn door de verwerkingsverantwoordelijke, tenzij de verwerkingsverantwoordelijke binnen een bepaalde tijdsperiode zijn bezwaren uit. Dit illustreert dat het payrollbedrijf sub-verwerkers kan inschakelen zonder dat expliciete toestemming van alle betrokken verwerkingsverantwoordelijken nodig is ten aanzien van een sub-verwerker.
Door gebruik te maken van de juridische constructie van algemene toestemming functioneert toestemming in de praktijk meer als een mededeling. In de praktijk wordt hier echter door zowel de verwerker als de verwerkingsverantwoordelijke te makkelijk over gedacht. Het gevaar is namelijk dat er een niet betrouwbare sub-verwerker ingeschakeld wordt, waarvoor de verwerkingsverantwoordelijke uiteindelijk verantwoordelijk voor is. Een verwerkingsverantwoordelijke blijft namelijk verantwoordelijk voor de verwerkingen die zij uitbesteedt, ook indien de verwerker deze verwerkingen ook weer uitbesteedt.
Algemene toestemming en bezwaarmogelijkheid in de praktijk
In de hierboven geschetste situatie kan een vorm van ketenaansprakelijkheid een mogelijke oplossing bieden. Zodat partijen niet te makkelijk om zullen gaan met hun verantwoordelijkheden. Het principe van ketenaansprakelijkheid vereist dat alle betrokken partijen bij de verwerking van persoonsgegevens verantwoordelijkheid dragen voor mogelijke schendingen van de AVG, ongeacht of er toestemming is verkregen. Hierdoor kunnen niet alleen de verwerkingsverantwoordelijke, maar ook andere partijen in de gegevensverwerkingsketen aansprakelijk worden gehouden voor eventuele inbreuken op de AVG, indien deze aan hen te wijten zou zijn. Dit creëert een gedeelde verantwoordelijkheid en stimuleert alle partijen om proactieve maatregelen te nemen ter bescherming van de privacy.
Inspiratie uit de NIS2-richtlijn
Inspiratie voor een dergelijke invoering van een vorm van ketenaansprakelijkheid kunnen we vinden in de implementatie van de NIS2-richtlijn. In tegenstelling tot de AVG, waarbij handhaving plaatsvindt op basis van een ex post sanctiebeleid na een incident, hanteert de NIS2-richtlijn een ex ante sanctiebeleid voor “essentiële organisaties”. Dit betekent dat er proactief beleid wordt gevoerd met steekproefsgewijze controles. De NIS2-richtlijn stelt ook dat elke bestuurder van een organisatie wettelijk verantwoordelijk is voor het nemen van beveiligingsmaatregelen. Indien bestuurders de richtlijn niet naleven, kunnen zij aansprakelijk gesteld worden. Het nationale recht moet de NIS2-richtlijn uiterlijk op 17 oktober 2024 hebben geïmplementeerd. Daarnaast legt de NIS2-richtlijn strengere eisen op aan verwerkers van “essentiële organisaties”. Waarbij de nadruk wordt gelegd op de zorgplicht van bedrijven ten opzichte van hun verwerkingsverantwoordelijken.
Het zou passend zijn om de zorgplicht ook toe te passen op de verplichtingen van de verwerker onder de AVG. Deze zorgplicht kan onder andere het nemen van passende beveiligingsmaatregelen en het melden van datalekken aan verwerkingsverantwoordelijken omvatten. Een voorstel zou kunnen zijn om verwerkers explicieter te laten communiceren en toestemming te vragen bij het inschakelen van sub-verwerkers. Met als doel transparantie en controle over de gegevensverwerking te waarborgen.
Toepassing van Zorgplicht op Verwerkers onder de AVG
De ketenaansprakelijkheid in de AVG legt de nadruk op zorg- en onderzoeksplicht van verwerkers, niet alleen op toestemming. Verwerkers van persoonsgegevens moeten de privacy en belangen van individuen beschermen. De wetgever bereikt hiermee het doel van proactieve maatregelen, zoals het beschermen van gegevens en het informeren van de verwerkingsverantwoordelijke over wijzigingen in de keten van sub-verwerkers. Verwerkers moeten zorgvuldig onderzoek doen naar sub-verwerkers om ervoor te zorgen dat alleen betrouwbare en ethische partijen betrokken zijn bij de verwerking van persoonsgegevens. Dit draagt bij aan het opbouwen van vertrouwen tussen verwerkers, verwerkingsverantwoordelijken en uiteindelijk ook de betrokkenen. Dit zal een cultuur van verantwoordelijkheid en ethisch handelen in de gegevensverwerking stimuleren.
Ethisch handelen bij gegevensverwerking en privacy omvat respect voor privacyrechten, zorgvuldige omgang met persoonsgegevens en waarborging van transparantie, vertrouwelijkheid en veiligheid. Een inbreuk van dit recht op privacy vergt dan ook een ethische overweging, waardoor privacy en ethiek nauw met elkaar zijn verbonden. Het beschermen van privacy is naar onzes inziens dus niet alleen een juridische verplichting, maar ook een ethische verantwoordelijkheid. Door ethisch handelen te stimuleren, bouwen we vertrouwen op en bevorderen we een cultuur van verantwoordelijkheid en respect bij het verwerken van persoonsgegevens.
Ethisch handelen en privacybescherming
In de praktijk zijn er veranderingen nodig om het ethisch handelen rondom gegevensverwerking en privacy te verbeteren. Het huidige systeem van algemene toestemming waarmee expliciete toestemming vaak wordt omzeild, leidt tot wantrouwen en het inschakelen van mogelijk niet betrouwbare partijen. De verwerkingsverantwoordelijke verliest daardoor haar grip op de persoonsgegevens, terwijl de verantwoordelijkheid voor de verwerking wel bij de verwerkingsverantwoordelijke blijft rusten. Zoals hiervoor is aangedragen, zou ketenaansprakelijkheid hier een oplossing voor kunnen zijn. Het zou kunnen leiden tot een gedeelde verantwoordelijkheid, waardoor alle betrokken partijen proactieve maatregelen moeten nemen om privacy te beschermen en er derhalve transparantie bestaat over welke partijen betrokken zijn bij de gegevensverwerking.
Een voorstel zou kunnen zijn om dit principe van ketenaansprakelijkheid op te nemen in privacyregelgeving of in bijvoorbeeld een gedragscode zodat er sprake is van zelfregulering. De inhoud van de regelgeving of gedragscode zou ten minste moeten bepalen dat het partijen niet is toegestaan derde partijen voor de verwerking in te schakelen die non-compliant zijn met privacyregelgeving en dat iedere partij een eigen verantwoordelijkheid en zorgplicht heeft ten aanzien van de inschakeling van zulke derde partijen.
Naast het opnemen van aanvullende regels in de wet zou een normuitleg van de Autoriteit Persoonsgegevens (AP) of de European Data Protection Board (EDPB) ook een mogelijkheid kunnen zijn, waarbij de AP of EDPB-aandacht kunnen besteden aan het verduidelijken van de verantwoordelijkheden die op partijen rusten. Een normuitleg biedt in dat kader concrete uitleg over de interpretatie en toepassing van privacywetgeving en richt zich specifiek op de zienswijze van de instanties die belast zijn met toezicht en handhaving van privacyregelgeving. Europese wetgeving of uitspraken van het Hof van Justitie kunnen daarbij tevens richtlijnen bieden om deze nieuwe regels te bevorderen en te handhaven.
Conclusie ethisch handelen in gegevensverwerking (AVG, NIS2 en de ketenaansprakelijkheid): Van toestemming naar zorgplicht
Door deze stappen te nemen en ethisch handelen in gegevensverwerking te bevorderen, kunnen we het vertrouwen herstellen, een cultuur van verantwoordelijkheid en respect opbouwen en de bescherming van persoonsgegevens versterken in de gehele verwerkingsketen. Het is van belang om in de huidige wereld van social media, waarbij de verwerking van persoonsgegevens een steeds grotere rol gaat spelen, de privacyrechten van eenieder te erkennen, en daarbij de verantwoordelijkheid van verwerkers naar een hoger niveau te tillen; voorbij toestemming naar zorgplicht. Naast het weergeven van onze juridische blik over dit onderwerp, hopen we met dit opiniestuk tevens de awareness ten aanzien van het inschakelen van sub-verwerkers weer aan te wakkeren… 😉
Ook zullen onze ICT-specialisten u op de hoogte brengen van de laatste actualiteiten rondom ICT bij ons seminar aanstaande donderdag. Hier bespreken we nieuwe wetgevingen, ook de NIS2 zal dus aanbod komen. Ieder bedrijf is een ICT-bedrijf; iedereen is dan dus ook welkom!
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan