Privacy

IT 91

De modelcontracten van de Europese Commissie voor export van persoonsgegevens

Voor de kennisdatabank. Met ingang van 15 mei 2010 heeft de Europese Commissie aangepaste model contractbepalingen vastgesteld voor doorgifte van persoonsgegevens naar landen buiten de EU waar geen passend beschermingsniveau wordt geboden. Met dank aan Bieneke Braat (Certa Legal).

Nieuw aan de model bepalingen is dat het nu ook voor de gegevensimporteur mogelijk is geworden persoonsgegevens door te geven aan sub-verwerkers. De Europese Commissie zegt daarmee in te spelen op de uitbreiding van verwerkingsprocessen en nieuwe vormen van dienstverlening voor de internationale verwerking van persoonsgegevens.

Onder sub-verwerker wordt verstaan:

”een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking.”

Uitbesteding van de gegevenswerking aan sub-verwerkers kan slechts met voorafgaande schriftelijke toestemming van de gegevensimporteur en slechts op grond van een contract. De gegevensimporteur moet een lijst bijhouden van de met sub-verwerkers gesloten contracten en moet deze lijst verstrekken aan de toezichthouder in het land van de verantwoordelijke.

Betrokkenen kunnen een aantal van de bepalingen jegens de sub-verwerker (zoals informatieplicht bij lokale wetswijzigingen, inzageverzoeken van lokale autoriteiten en onbevoegde toegang door derden, het treffen van beveiligingsmaatregelen en aansprakelijkheid) afdwingen wanneer zowel de gegevensexporteur als de gegevensimporteur is opgehouden te bestaan zonder dat er een rechtsopvolger is. De aansprakelijkheid van de sub-verwerker blijft beperkt tot de werkzaamheden die deze op grond van de modelbepalingen uitvoerde.

De oude bepalingen in bestaande contracten blijven van toepassing zolang die niet wijzigen. Als dat wel het geval is of de verwerkingsactiviteiten worden uitbesteedt, dan moet daarvoor een nieuwe overeenkomst worden gesloten.

Hier vindt u de link naar de contracten.

IT 64

CBP uit zorgen over inzet ASP/SaaS in de zorg

In een brief aan Minister Klink van VWS van december 2009 heeft het College Bescherming Persoonsgegevens (CBP) haar zorgen geuit over het toenemende gebruik door zorginstellingen van ASP of SaaS. Daarbij worden patiëntgegevens extern opgeslagen en kunnen deze door de zorgverlener via internet worden benaderd. Deze brief biedt een interessante kijk in de zienswijze van het CBP ten aanzien van de inzet van ASP en SaaS in de zorg en de risico’s daarvan.

Met dank aan Ernst-Jan van de Pas, Dirkzwager advocaten.

Risico’s ASP in de zorg
Zorgverleners hebben een medisch beroepsgeheim. In de brief signaleert het CBP meerdere risico’s bij de inzet van ASP in de zorg die dat beroepsgeheim kunnen ondermijnen. Zo bestaat het risico dat de ASP-dienstverlener patiëntgegevens onvoldoende beveiligt en dat de gegevens onder omstandigheden zichtbaar zijn voor andere dan de gecontracteerde zorgverlener, zoals personeel of andere klanten van de ASP-dienstverlener. Ook moet rekening worden gehouden met de mogelijkheid van verlies en verminking van gegevens. Verder wijst het CBP erop dat de zorgverlener in de uitoefening van zijn praktijk in hoge mate afhankelijk is van de diensten van de ASP-dienstverlener. Dit kan er in de praktijk zelfs toe leiden dat een zorgverlener vast komt te zitten aan zijn dienstverlener (vendor lock-in). Door deze afhankelijkheid bestaat het risico dat de zorgverlener zijn zeggenschap over de verwerking van persoonsgegevens verliest, terwijl het beroepsgeheim onverminderd op hem rust.

ASP-dienstverlener is bewerker in de zin van de WBP
Het CBP meent dat de ASP-dienstverlener kan worden gekwalificeerd als bewerker in de zin van de Wet Bescherming Persoonsgegevens (WBP), maar wijst erop dat het medisch beroepsgeheim (vastgelegd in artikel 7:477 BW) geen onderscheid maakt tussen “verantwoordelijke” en “bewerker” zoals de WBP dat wel doet. Op grond van dat beroepsgeheim mag de hulpverlener geen inlichtingen over de patiënt of inzage in of afschrift van bescheiden verstrekken aan anderen dan de patiënt, tenzij de patiënt daar toestemming voor heeft gegeven. Die toestemming is niet nodig indien de patiëntgegevens worden verstrekt aan derden die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en die verstrekking noodzakelijk is voor de door hen in het kader te verrichten werkzaamheden.

ASP-dienstverlener rechtstreeks betrokken bij uitvoering behandelingsovereenkomst?
Volgens het CBP is (als de patiënt geen toestemming heeft gegeven) bewerkerschap in de zorg alleen mogelijk indien de ingeschakelde bewerker “rechtstreeks betrokken” is bij de uitvoering van een behandelingsovereenkomst. De vraag is of een ASP-dienstverlener rechtstreeks betrokken is bij de uitvoering van een dergelijke overeenkomst. Die vraag is niet eenvoudig te beantwoorden. Wel merkt het CBP op dat ook anderen dan zorgverleners rechtstreeks betrokken kunnen zijn en dat dit niet per se personen hoeven te zijn die handelingen verrichten op het gebied van de geneeskunst. Anderzijds merkt het CBP op dat het gelet op de tekst van de wet niet evident is dat ASP-dienstverleners ook rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst.

Geen principiële bezwaren tegen ASP
Een belangrijk standpunt dat het CBP in de brief inneemt, is dat zij aangeeft dat er vanuit algemene principes van gegevensbescherming geen principiële bezwaren bestaan tegen de uitbesteding van verwerking van patiëntgegevens indien en zover het medisch beroepsgeheim daarbij wordt gerespecteerd. Dat laatste betekent concreet dat waarborgen moeten worden opgenomen voor een veilige en discrete verwerking van de ASP-dienstverlener. Het CBP verwijst in dit licht naar de toepassing van de normen NEN 7510/7511/7512, aangevuld met specifieke normen die zien op de verhouding zorgverlener – ASP, bijvoorbeeld ten aanzien van de zeggenschap van de zorgverlener over de uitbestede verwerking en de bij de ASP aanwezige persoonsgegevens.

Nadere regulering geboden
Het CBP merkt op dat aan de patiënt– voor zover bekend – geen toestemming wordt gevraagd voor het onderbrengen van zijn gegevens bij een ASP-dienstverlener. Het is de vraag of het medisch beroepsgeheim ruimte biedt voor dergelijke manier van gegevensverwerkingen. Door deze onduidelijkheid is de praktijk niet normvast, aldus het CBP. Verder concludeert het CBP dat de mate waarin aandacht wordt geschonken aan de bescherming van persoonsgegevens dusdanig uiteen loopt, dat nadere regulering is geboden. “Hierbij kan worden gedacht aan wetgeving of zelfregulering. Vanwege het medisch beroepsgeheim dienen daarbij hoge eisen te worden gesteld aan de uitbestede gegevensverwerking. Er zullen stevige waarborgen moeten worden geboden voor een veilige en discrete verwerking bij de dienstverlener. Uitbesteding mag er immers nooit toe leiden dat op ongerechtvaardigde wijze gegevens aan personen of instellingen buiten de gezondheidszorg worden gebracht.”

Conclusie
Kort gezegd komt de brief neer op het volgende. Enerzijds is duidelijk dat het CBP in beginsel geen principiële bezwaren ziet tegen toepassing van ASP en SaaS in de zorg. Wel maakt het CBP zich zorgen over het ontbreken van heldere regels op dat vlak en roept zij de minister. Het wachten is nu op een antwoord van de Minister. Tot die tijd doen zorginstellingen en ASP/SaaS aanbieders er goed aan om goede afspraken te maken over hoe met patiëntgegevens omgaan.

Dit bericht is oorspronkelijk verschenen op http://dirkzwagerieit.nl/2010/03/03/cbp-uit-zorgen-over-inzet-aspsaas-in-de-zorg/

IT 69

Vergaand recht op inzage in dossier met eigen persoonsgegevens bij verzekeraar wederpartij

De rechtbank Zutphen heeft onlangs een interessante beschikking gegeven over het inzagerecht in dossiers met persoonsgegevens die een ander aanlegt. Deze beschikking bevestigt de vergaande consequenties van het inzagerecht voor de praktijk (Rechtbank Zutphen, 08-10-2009, LJN: BK4206). Eerder heeft de Hoge Raad al geoordeeld over het inzagerecht in beleggingsdossiers bij banken. Nu oordeelt de rechtbank Zutphen over inzage in een dossier bij een verzekeraar.

Met dank aan Mark Jansen, Dirkzwager advocaten.

De zaak handelt over een vrouw die verwikkeld is in een juridische procedure met een ziekenhuisarts over een (vermeende) beroepsfout van die arts. Terwijl die rechtszaak over aansprakelijkheid nog loopt, doet deze vrouw richting Centraal Beheer, de verzekeraar van het ziekenhuis, een beroep op artikel 35 Wet bescherming persoonsgegevens met het verzoek om haar een volledig overzicht te verstrekken van (1) de persoonsgegevens die van haar worden verwerkt en (2) aan wie deze gegevens verstrekt zijn.

Centraal Beheer geeft daarop een overzicht van de bij deze verwerkingen betrokken personen en een twee pagina’s tellende lijst met stukken die over de verzoekster in het dossier zijn opgenomen.

Daarop stelt de vrouw voor de rechtbank dat dit overzicht niet compleet is en dat ze bovendien recht heeft op afschrift van de gegevens. Centraal Beheer verweert zich in deze procedure met de stelling dat de WBP helemaal niet van toepassing is, nu het een papieren dossier betreft. De rechtbank passeert dit verweer door aan te geven dat de WBP naast bij alle geautomatiseerde verwerkingen van persoonsgegevens, krachtens artikel 2 lid 1 WBP ook van toepassing is bij in een “bestand” opgenomen persoonsgegevens. Aangezien het dossier gestructureerd van aard is (althans logischer wel gestructureerd moet zijn), voldoet het dossier van Centraal Beheer volgens de rechtbank aan de definitie van “bestand”. De WBP is dus wel van toepassing. Ook bij papieren dossiers zal dus veelal een inzagerecht bestaan.

Interessant is dat rechtbank oordeelt dat het inzagerecht ook ziet op aanbiedingsbrieven waarin persoonsgegevens van de vrouw aan derden worden verstrekt. Gezien de tekst van de wet moge dit niet zo verrassend zijn, maar wat staat er al niet (aan bijvoorbeeld “sappig” commentaar) in dergelijke briefjes?

Een ander interessant punt is dat de rechtbank oordeelt dat het inzagerecht niet ziet op afschrift van interne notities en werkaantekeningen. Interne werkaantekeningen behoren namelijk niet tot het dossier (aldus de rechtbank). Voor dit oordeel sluit de rechtbank aan bij hetgeen hierover is bepaald in de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, waarvoor tot 5 februari 2008 een verklaring van geen bezwaar van het College Bescherming Persoonsgegevens gold. Ook krijgt de betrokkene om die reden geen inzage in de correspondentie over de zaak die Centraal Beheer met haar advocaat heeft gevoerd. Gezien het ruime inzagerecht dat volgt uit het kader van de Hoge Raad (zie slot van dit stukje), is het de vraag of deze beperking op het inzagerecht inderdaad moet worden aangenomen. Anderzijds is de vraag of bij alle correspondentie uit het dossier nog wel steeds sprake is van “verwerking van persoonsgegevens”. Deze discussie krijgt ongetwijfeld nog wel een vervolg in een andere zaak.

Centraal Beheer wordt uiteindelijk bevolen om een volledig overzicht te verstrekken van elke verwerking van persoonsgegevens, door alle informatiedragers op te geven waarop deze persoonsgegevens staan. Ook moet zij afschrift geven van de door verzoekster geselecteerde informatiedragers, tenzij dit interne notities, werkaantekeningen of correspondentie met haar advocaat betreft. Daarnaast had de vrouw nog andere vorderingen ingediend – zoals een verbod voor Centraal Beheer haar persoonsgegevens verder te verwerken en een schadevergoeding – maar deze vorderingen moet zij volgens de rechtbank in een normale dagvaardingsprocedure aanhangig maken (in plaats van in deze verzoekschriftprocedure).

De uitspraak van de Rechtbank Zutphen lijkt overigens in lijn met vaste rechtspraak van de Hoge Raad. In een hele serie uitspraken gegeven op 29-06-2007 (zie bijvoorbeeld deze uitspraak) over dit inzagerecht, gaf hij namelijk in steeds gelijke bewoordingen aan dat dit recht ziet op het verkrijgen van een “transparant en volledig” overzicht waarbij “alle relevante informatie over de betrokkene” moet worden verstrekt, waar nodig “door het verstrekken van afschriften, kopieën of uittreksels“. Een beroep op het inzagerecht hoeft volgens de Hoge Raad bovendien niet gemotiveerd te worden: de betrokkene wiens gegevens het betreft kan “volstaan met een verwijzing naar art. 35 Wbp en behoeft geen nadere redenen op te geven“.

Dit bericht verscheen oorspronkelijk op http://dirkzwagerieit.nl/2009/12/09/vergaand-recht-op-inzage-in-dossier-met-eigen-persoonsgegevens-bij-verzekeraar/

IT 73

Privacywetgeving mogelijk niet van toepassing bij slaafs kopiëren persoonsgegevens

Diverse exploitanten van zoekmachines hebben onlangs van de samenwerkende privacytoezichthouders het verzoek gekregen in verband met privacywetgeving hun dienstverlening aan te passen. Interessant is dat uit deze verzoeken volgt dat er kennelijk situaties denkbaar zijn waarop de (strenge) privacywetgeving niet van toepassing is

Met dank aan Mark Jansen, Dirkzwager advocaten.

Alle toezichthouders op de privacywetgeving in Europa zijn verenigd in de zogenaamde “Artikel 29 Werkgroep” (zie over die werkgroep ons eerdere blogbericht). Deze werkgroep heeft onlangs brieven gestuurd aan Yahoo, Microsoft en Google. In deze brieven geeft de werkgroep aan wat er volgens haar nog (meer) moet gebeuren om de dienstverlening van deze bedrijven in overeenstemming met de privacywetgeving te krijgen.

In dit blogbericht richt ik me op de brief aan Google. Uit deze brief blijkt dat, kort gezegd, van Google wordt verlangd dat zij:

  • de zoekgegevens tot maximaal 6 maanden bewaart (nu: 9 maanden);
  • die zoekgegevens volledig onomkeerbaar anonimiseert
    • meer specifiek door het gehele IP-adres te verwijderen (en niet alleen het laatste deel);
    • daar waar (geanonimseerde) zoekresultaten op indirecte wijze toch persoonsgegevens prijsgeven, deze gegevens beperken zodat indirecte identificatie niet mogelijk is;
  • beter en sneller voldoet aan verzoeken om gegevens uit de zoekresultaten te verwijderen.

Eén punt in de brief valt specifiek op. Google heeft betoogd dat zij als zoekmachine niet kan worden aangemerkt als verantwoordelijke voor de persoonsgegevens die op de door haar geindexeerde websites staan, omdat zij slechts als passief doorgeefluik van die gegevens werkt (mere conduit). De Artikel 29 Werkgroep is het hier mee eens: “the Working Party agrees with that rationale”.

Dit is opvallend en wel om de volgende reden. Google werkt met een cache-kopie van alle websites die zij heeft geïndexeerd. Google heeft met andere woorden een kopie opgeslagen van de websites en de daarop vermelde persoonsgegevens. Kopiëren van persoonsgegevens is onmiskenbaar een vorm van “verwerken”. Het systeem van de privacyrichtlijn is vervolgens vrij overzichtelijk: wanneer persoonsgegevens van een EU-burger worden “verwerkt”, is er altijd een bedrijf of instelling die als “verantwoordelijke” voor die verwerking aan te wijzen is. De privacyrichtlijn maakt geen uitzondering voor passieve verwerking. Je zou dus verwachten dat Google in deze situatie als “verantwoordelijke” zou zijn aangemerkt. Het opvallende is echter dat de Werkgroep concludeert dat Google wel verwerkt, maar niet als verantwoordelijke hiervoor kan worden aangemerkt.

Dit lijkt een behoorlijke beperking op het systeem van privacybescherming op te leveren. Wie (persoons)gegevens slechts kopieert en vervolgens onbewerkt doorgeeft aan anderen, zou niet als “verantwoordelijke” aan te merken zijn. Dat zou voor veel exploitanten van websites en andere ondernemers betekenen dat de Wet bescherming persoonsgegevens niet of verminderd op hen van toepassing zijn.

Toch kan deze conclusie niet te snel worden getrokken. De Werkgroep vervolgt namelijk met de opmerking: “However, as soon as data on websites are removed or changed, you do become the controller of the (outdated) personal data contained in the index or Google cache.”. Dit is een belangrijke nuance. Praktisch gesproken kan een exploitant van een zoekmachine immers niet garanderen dat de door haar gekopieerde pagina’s nog ongewijzigd op het web staan, hetgeen haar al snel weer tot “verantwoordelijke” maakt.

Conclusie is dat de (verstrekkende en strenge) privacywetgeving nagenoeg altijd van toepassing is, maar dat een (buitenwettelijke) uitzondering kennelijk wel verdedigbaar is. Verder valt op dat het de toezichthouders op de privacy kennelijk ernst is, nu ze deze grote ondernemingen zo actief sommeert hun beleid te herzien.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2009/11/12/privacywetgeving-mogelijk-niet-van-toepassing-bij-slaafs-kopieren-persoonsgegevens/