How to

Zo vind je software die aan de privacy-eisen voldoet

0

We wisten het eigenlijk al, maar sinds de uitspraak van de Duitse privacy-toezichthouder* weten we het zeker: software uit de VS is niet veilig. MailChimp kan zo het raam uit. Maar wat moeten we dan? Hoe komen we aan systemen die wel aan de AVG voldoen en privacy-proof zijn?

Gebruik software uit privacy-proof landen

Wil je iets met persoonsgegevens doen, zoals ze verzamelen, opslaan of iets anders? Dan mag dat alleen volgens de regels van de AVG. Dat betekent dus ook dat het bedrijf of de software die je daarvoor inhuurt aan de AVG moet voldoen. Veel software komt natuurlijk niet uit Nederland. Je moet dus zorgen voor software uit een land dat AVG-proof is, maar welke landen zijn dat dan?

Uiteraard vallen alle landen in de EU/EER daaronder, want al die landen moeten aan de AVG voldoen.

Daarnaast zijn er landen door de Europese Commissie als zogenaamde adequate landen aangewezen. De Europese Commissie heeft de privacywetten van de landen beoordeeld en in deze landen is deze zo goed dat het ook aan de vereisten van de AVG voldoet. Je moet daarnaast natuurlijk nog steeds de juiste afspraken met de bedrijven maken. De actuele lijst van adequate landen staat op de website van de Europese Commissie. Op dit moment zijn dit de volgende landen:

  • Andorra
  • Argentinië
  • Canada (commerciële bedrijven)
  • Faeröer-eilanden
  • Guernsey
  • Israël
  • Man-eiland
  • Japan
  • Jersey
  • Nieuw-Zeeland
  • Zwitserland
  • Uruguay

Tref passende waarborgen

Wil je gebruik maken van een bedrijf uit een land dat niet adequaat is en niet in de EU/EER zit? Dan kan dat soms toch, als je maar zogenaamde passende waarborgen treft. Dat zijn strenge vereisten waaraan het in te huren bedrijf moet voldoen.

Er kan bijvoorbeeld gebruik gemaakt worden van de zogenaamde modelcontracten, ook wel EU model clauses of standard contractual clauses (scc) genoemd. Deze zijn door de Europese Commissie opgesteld en zijn op 4 juni 2021 vernieuwd. Als je hier gebruik van maakt, mag hier niet van worden afgeweken. Wil je er toch van afwijken, dan heb je daarvoor eerst toestemming nodig van onze nationale privacy-toezichthouder, de Autoriteit Persoonsgegevens.

Alleen maar zeggen dat je zult voldoen aan deze regels is niet genoeg. In die modelcontracten staat namelijk dat je de rechten van betrokkenen moet waarborgen en effectieve rechtsmiddelen moet bieden. Dat is soms eenvoudigweg niet mogelijk door de privacyregels in het land waar het bedrijf gevestigd is, zoals de VS.

Een andere mogelijkheid is nog door gebruik te maken van een goedgekeurde gedragscode of certificering. Uiteraard blijft hetzelfde probleem spelen met de waarborgen en rechtsmiddelen. Ook dit is voor de VS dus geen oplossing.

Binding corporate rules voor internationale organisaties

Voor organisaties die in meerdere landen werken, zijn soms zogenaamde binding corporate rules de oplossing. Dit zijn regels binnen dit internationale bedrijf, tussen de verschillende internationale vestigingen. Daarmee kunnen persoonsgegevens toch internationaal worden doorgegeven. Deze moeten eerst worden goedgekeurd door de Europese toezichthouder European Data Protection Board (EDPB).

Op deze manier zou je bijvoorbeeld gebruik kunnen maken van een bedrijf dat zowel een vestiging in de EU heeft, maar ook in een ander, niet adequaat land.

Regel expliciete toestemming

Een laatste optie is nog de toestemming. Geeft een betrokkene, dus de persoon op wie de persoonsgegevens betrekking hebben, expliciet toestemming voor het doorgeven van de persoonsgegevens buiten de EU, dan is daarmee toegestaan om dat ook werkelijk te doen.

Alleen in de privacyverklaring vermelden dat je gebruik maakt van diensten buiten de EU/EER is dus niet voldoende. Dat iemand alleen maar geen bezwaar heeft is ook niet voldoende. Dat is namelijk allemaal geen expliciete toestemming. Bovendien moet de toestemming vrij gegeven kunnen worden. Als de toestemming noodzakelijk is om van jouw dienst of product gebruik te kunnen maken, is het geen vrije toestemming meer, maar is de toestemming een voorwaarde geworden om jouw dienst of product te kunnen gebruiken.

De toestemming kun je dus alleen krijgen als je voor deze verwerking nog apart toestemming hebt gekregen. Daarvoor moet de betrokkene een actieve handeling uitvoeren. Denk aan een vakje aanvinken of op een knop klikken. Uiteraard moet de betrokkene eerst voldoende informatie hebben gekregen.
De toestemming mag niet gekoppeld zijn aan het kunnen gebruiken van bepaalde functies, diensten of producten.

Duim omhoog

Check de privacyverklaring

Elke organisatie moet in de privacyverklaring vermelden of ze gebruik maken van verwerkers buiten de EU/EER of dat ze om andere redenen persoonsgegevens doorgeven buiten de EU/EER. Een bedrijf is al een verwerker, wanneer deze de persoonsgegevens kan inzien of bijvoorbeeld opslaat. Een verwerker hoeft dus niet zelf actief iets met de persoonsgegevens te doen.

Uit een goede privacyverklaring kun je dus al opmaken in welke landen persoonsgegevens verwerkt worden. Staan daar landen tussen buiten de EU/EER die niet adequaat zijn bevonden door de Europese Commissie, dan kun je niet zomaar van deze software of de diensten van dit bedrijf gebruik maken. Ook niet als ze verder beweren aan de AVG te voldoen.

Naast de privacyverklaring heb je met zo’n partij ook altijd een verwerkersovereenkomst nodig. Meestal zal deze partij dat al aan jou aanbieden. Soms doen ze dat met een aparte overeenkomst, maar het mag ook geïntegreerd zitten in de algemene voorwaarden. Staat het niet in de voorwaarden en kun je er, na contact, ook geen bij hen opvragen? Dan moeten alle alarmbellen afgaan en is dit geen privacy-proof partij.

Let op: een Nederlandse verkoper is niet voldoende

Dat software in het Nederlands wordt aangeboden of door een Nederlandse verkoper aan je wordt verkocht, betekent dus nog niet dat het ook software is die je kunt gebruiken als daarmee ook persoonsgegevens worden verwerkt.

Meestal bieden ze slechts de Nederlandse vertaling en Nederlandse klantenservice aan, maar wordt nog steeds gebruik gemaakt van bijvoorbeeld de Amerikaanse faciliteiten. Loopt bijvoorbeeld de e-mailmarketing-software alsnog via Amerikaanse mailservers, dan is er een probleem.

Voor welke software moet je de privacy regelen?

Alle software waarmee je persoonsgegevens verwerkt moet privacy-proof zijn. Dat is dus alle software waarin bijvoorbeeld namen, adressen, e-mailadressen, geboortedata of andere informatie staat die iets over een persoon zegt.

Denk bijvoorbeeld aan een hostingpartij voor de website die (tijdelijk) gegevens van contactformulieren of reacties onder blogposts opslaat. Maar ook plugins die toegang hebben tot persoonsgegevens die via hun systeem zijn binnengehaald. Natuurlijk geldt dit ook voor je CRM-systeem en e-mailmarketingtool.

*Bron inleiding: gdprhub.eu