Bewerkerschap, bewerkersovereenkomst en Google Analytics
.jpg)
Over het oordeel van het CBP inzake Smart TV zal vast en zeker nog veel worden gesproken. Het oordeel bevat een aantal interessante overwegingen over bijvoorbeeld het begrip persoonsgegeven (waarvan volgens het CBP sprake kan zijn indien een set gegevens van in potentie verschillende personen kunnen worden toegerekend aan een specifieke persoon, ook al is zijn naam onbekend) en de categorie "gevoelige gegevens" (zijnde gegevens die in context gevoelig zijn en waarvan de verwerking volgens het CBP al snel gebaseerd dient te zijn op uitdrukkelijke toestemming). Ik beperk me hier echter tot enkele overwegingen over de bewerker, de bewerkersovereenkomst en de kwalificatie van de Google Analytics.
In de praktijk wordt wellicht te snel aangenomen dat sprake is van een bewerker, ook als de kern van de dienstverlening niet het verwerken van persoonsgegevens is. Het CBP lijkt te suggereren dat in geval van bewerking altijd een specifieke bewerkersovereenkomst moet worden gesloten en niet mag worden teruggevallen op de overige bepalingen van dienstverleningsovereenkomst waar de bewerking deel vanuit maakt. Daarnaast voorzie ik nog een pittige discussie over de rol van de Google bij het leveren van Analytics-diensten. Als Google, zoals het CBP stelt, bewerker is, dienen alle gebuikers van Google Analytics bewerkersovereenkomsten te sluiten met Google, en Google lijkt dat vooralsnog te weigeren.
Polo van der Putt, Vondst Advocaten.
In veel IT-dienstverlening krijgt de IT-leverancier persoonsgegevens van zijn klant onder zich. De klassieke vraag is dan of de dienstverlener kwalificeert als verantwoordelijke of bewerker. De MvT bij de WBP zegt daarover (p. 62):
"Het bewerkersbegrip is in principe van toepassing op verschillende vormen van dienstverlening. Uitgangspunt is daarbij dat de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk. Een advocaat die namens een cliënt optreedt of een telemarketingbedrijf dat in opdracht van een derde onderzoek verricht, is bijvoorbeeld zelf verantwoordelijk voor de verwerking van persoonsgegevens die in het kader van hun taak plaatsvindt. [...] Er is sprake van facilities management indien gebruik wordt gemaakt van de diensten van een serviceverlenend bedrijf op het gebied van de automatisering. Dit bedrijf zet bijvoorbeeld een informatieverwerkend systeem ten aanzien van de salarisadministratie van de opdrachtgever onder eigen verantwoordelijkheid op, implementeert het en voert het uit ten huize van de opdrachtgever. Indien de opdrachtgever enkel de automatiseringsfunktie heeft uitbesteed en deze heeft losgekoppeld van de beleidsfunctie met betrekking tot de informatievoorziening (de aansturing, de zeggenschap over bijvoorbeeld welke gegevens worden opgenomen) en dit zodanig heeft neergelegd in zijn overeenkomst met het bureau, zal van het servicebureau niet kunnen worden gezegd dat het persoonsgegevens verwerkt."
In de contractpraktijk wordt er in steevast van uitgegaan dat de dienstverlener bewerker is. Ik ben van mening dat er in veel gevallen echter wel iets voor te zeggen is dat de dienstverlener geen bewerker is. De dienstverlening van een automatiseringsbedrijf ziet doorgaans immers niet primair op de verwerking van persoonsgegevens; de eventuele verwerking is slechts een bijzaak van de autmatiseringsfunctie, een uitvloeisel van de overige dienstverlening. Vaak zal een IT-dienstverlener ook helemaal niet kunnen vaststellen of er persoonsgegevens worden verwerkt, omdat hij geen toegang heeft tot de data en applicaties die hij host. Maar als de IT-dienstverlener geen bewerker is, is hij dan automatisch verantwoordelijke? Naar mijn idee niet. Een IT-dienstverlener bepaalt immers niet zelf het doel van de bewerking van de persoonsgegevens; het zijn de gegevens van zijn klant.
Dat kan dan tot geen andere conclusie leiden dat er gevallen zijn waar een IT-dienstverlener én geen bewerker én geen verantwoordelijke is. Die conclusie hoeft overigens geen schokkende effect te hebben op privacybescherming. Art. 6 WBP (zorgvuldigheid) zal al snel met zich meebrengen dat een klant die gegevens opslaat bij een derde, onder welke gegevens ook persoonsgegevens kunnen zitten, afspraken maakt over beveiliging, het opvolgen van instructies en het verbod op eigen gebruik.
Als sprake is van een bewerkersrelatie eist de WBP een bewerkersovereenkomst (art. 14). Mijn ervaring is dat de meeste dienstverleningscontracten daartoe een clausule "persoonsgegevens" bevatten. Slechts in een uitzonderlijk geval wordt een separate bewerkersovereenkomst gesloten. De vraag is of een in het contract ingebedde clausule voldoende is. Het CBP zegt in haar Smart -TV oordeel het volgende (p. 63):
"De overeenkomst [bewerkersovereenkomst, PVDP] moet naar zijn aard betrekking hebben op de gegevensverwerking. De overeenkomst mag niet betrekking hebben op een vorm van dienstverlening waar
de gegevensverwerking slechts een uitvloeisel van is."
Moet het standpunt van het CBP nu zo worden uitgelegd dat de privacyclausule/separate bewerkersovereenkomst op zich zelf moet staan? Dat lijkt mij niet zonder meer het geval. Zo eist de WBP dat een bewerkersovereenkomst de beveiliging van persoonsgegevens regelt. In IT-dienstverleningscontracten wordt beveiliging vaak uitgebreid geregeld, bijv. door verwijzing naar ISO 27001 en specifieke beveiligingseisen van de klant. Die eisen gelden dan voor alle gegevens, waaronder de evt. persoonsgegevens. Betoogd kan worden dat, indien de beveiliging contract-breed afdoende is geregeld, daarmee ook is voldaan aan de beveiligingseisen uit de WBP. Is het dan echt nodig deze afspraken expliciet te herhalen in de privacyclausule/bewerkersovereenkomst?
Het CBP is van mening dat Google persoonsgegevens verwerkt. Terzake van het plaatsen en lezen van Google Analytics-cookies zegt het CBP (p. 57):
"Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden"
Het CBP is van mening dat Google bewerker is en dat een bewerkersovereenkomst noodzakelijk is. De standaardvoorwaarden van Google zijn daarvoor onvoldoende. Uit het oordeel blijkt dat Google weigert een bewerkersovereenkomst aan te gaan, omdat zij van mening is geen persoonsgegevens te verwerken. Dat plaatst gebruikers van Google Analytics voor een dilemma. Twee opvattingen staan tegenover elkaar. Gebruikers van Google Analytics weten nu dat het CBP al snel van mening zal zijn dat sprake is van een bewerkersrelatie. Bij gebreke van een bewerkersovereenkomst zal de gebruiker in de ogen van het CBP dus in overtreding zijn van de WBP. Het is te verwachten dat hier verdere discussies over zullen volgen.
Ik denk dat het een goede zaak is dat het CBP zich duidelijk uitlaat over belangrijke onderwerpen als persoonsgegevens, gevoelige gegevens en bewerking. Zoals vaker bij persoonsgegevens blijft het echter onzeker welke visie de juiste is. Het blijft een kwestie van interpretatie en de (hoogste) rechter heeft zich er nog niet over uitgelaten.
