Dit jaar wordt de nieuwe privacy webgeving van kracht. Als ondernemer, en dat geld ook voor een zzper, moet je dan aan een aantal voorwaarden voldoen. Met alle cloud en email diensten heb je dan een verwerkersovereenkomst nodig. Daar ben je dan mooi klaar mee, de wetgeving is Europees maar de meeste cloud diensten niet. Hoe daar mee om te gaan? Dropbox heeft al laten weten dat ze zich er niets van aantrekken.
Waar kan ik vinden dat ik en verwerkersovereenkomst nodig heb ivm cloud en email? Dit lijkt mij alleen van toepassing als je gegevensverwerking hebt uitbesteed.
Stap 8: Verwerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog ‘bewerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Als je gebruik maakt van een clouddienst of email heb je dat dus uitbesteed. Lees dit maar: https://www.charlotteslaw.nl/2018/02/privacy-avg-fotografen/
Google en Apple zijn echt niet bereid om dat aan te passen voor een Europesche zzper.
Ik krijg bij het lezen van die site een wc-eend gevoel. Kan je niet beter jouw vragen stellen bij de Autoriteit Persoonsgegevens of iets dergelijks?
Kan, maar misschien heeft Apple hierover ergens een statement gemaakt. Er zullen vast wel meer wc eenden zijn die al hun werk in de Apple cloud hebben staan.
Ik doel op de website die jij aangaf. Voor hen is het een verdienmodel. Nogmaals, ik zou alleen kijken bij
iCloud of Dropbox is niets anders dan een parkeerplaats voor je data, ze doen er niets mee dus verwerken het niet - in mijn niet-juridische ogen. Bij Gmail zou het anders kunnen zijn omdat Google heel anders met informatie omgaat en die analyseert.
Hoe dan ook, wees maar niet bang dat de Autoriteit Persoonsgegevens ineens bij je op de stoep staat voor controle, dat gaat echt niet gebeuren bij een zzp’er. Net als bij die Cookiewet, hoeveel fotografen hebben hun website daar op aangepast? En heb je al verhalen gehoord over boetes en veroordelingen? Nee dus. Als jij gewoon normaal verantwoordelijk met je klantgegevens omgaat, is er niks aan de hand en kan je rustig slapen hoor. Ik ga me er echt niet druk om maken.
<p class="cite"> rbsoen op 12 februari 2018 om 12:21</p> Als je gebruik maakt van een clouddienst of email heb je dat dus uitbesteed. Lees dit maar: https://www.charlotteslaw.nl/2018/02/privacy-avg-fotografen/Google en Apple zijn echt niet bereid om dat aan te passen voor een Europesche zzper.
Het is geen goed teken dat ze de GDPR de Engelstalige versie van AVG noemen want is niet waar. De GDPR is de nieuwe Europese wetgeving voor databescherming die iedere lidstaat in haar eigen wetgeving over dient te nemen. Nederland heeft dat ook gedaan (vrij laat overigens) en heeft deze wetgeving de afkorting AVG meegegeven. De AVG bevat wat de GDPR zegt maar de GDPR bevat niet per se ook dat wat de AVG zegt. Het zijn twee dingen die weliswaar met elkaar te maken hebben maar zeer zeker niet hetzelfde zijn.
Wat ook niet juist is, is het stukje over de verwerkersovereenkomst. Dit is wat onze waakhond, het AP, er over te zeggen heeft:
Wanneer moet u een verwerkersovereenkomst opstellen?Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. Met een verwerkersovereenkomst sluit u uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.
De definitie van een verwerker (of bewerker) stelt het AP als volgt:
Wie is de bewerker bij het verwerken van persoonsgegevens?Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een administratiekantoor.
Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.
Het wordt knap lastig om daar een dienstenaanbieder van bijv. mail, online opslag, enz. onder te scharen. Dat jij daar je gegevens opslaat betekent niet meteen dat zij dan ook voor jou de gegevens verwerken. Het probleem van de uitleg van eerder genoemde website wordt al heel snel duidelijk wanneer je weet hoe het internet werkt. Hun definitie betekent namelijk dat je met alle partijen die ook maar iets met je mailtje doen een verwerkersovereenkomst moet sluiten. Dat betekent dus alle routers, switches, servers, etc. die je onderweg maar tegenkomt. Dat is niet uitvoerbaar door wie dan ook. Al is het maar omdat dit een zeer grote kennis van ICT vereist en je dan ook nog eens exact moet uitpluizen waar iets naartoe is gegaan en wie dat dan afgehandeld heeft. In de praktijk komt dit erop neer dat je met de gehele wereld zo’n overeenkomst moet afsluiten. Ook wanneer je met pen en papier schrijft. Daar is dit stukje van de wetgeving ook niet voor bedoeld. Dit is bedoeld voor wie zijn administratie aan een administratiekantoor uitbesteed of bijv. een callcenter inhuurt of een incassobureau inschakelt (om eens een paar dingen te noemen). Jij geeft hierbij namelijk een opdracht aan een partij om een taak die jij normaliter uitvoert uit te voeren. Bij iets als e-mail, online opslag, etc. is hiervan geen sprake, dat moet je meer zien als opslag van de data.
Ligt het dan zo eenvoudig? Nou nee. Dit is namelijk de huidige definitie van wat er wordt verstaan onder “verwerken”:
Wat houdt verwerken van persoonsgegevens in?Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.
Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
De informatie van eerder genoemde link is wat simplistisch en hangt ook vooral naar de kant “het zekere voor het onzekere nemen” (niks mis mee natuurlijk). Ik zou dan ook eerder met een echte jurist en/of het AP contact opnemen, dan weet je veel exacter wat nou de bedoeling is. Overigens lijkt het er volgens de GDPR zelf op dat een reeds bestaand contract die je met bijv. de dienstaanbieder afsluit al voldoende is mits deze voldoet aan de GDPR. Je hebt er dus niet per definitie een geheel nieuwe document met allerlei extra voorwaarden voor nodig.
<p class="cite">Le Big Mac op 12 februari 2018 om 19:57</p> Hoe dan ook, wees maar niet bang dat de Autoriteit Persoonsgegevens ineens bij je op de stoep staat voor controle, dat gaat echt niet gebeuren bij een zzp’er.Bij een routinecontrole zullen ze dat niet doen maar ze zullen dit wel doen wanneer men berichten krijgt van bijv. een datalek en dan hang je. De boetes zijn namelijk niet bepaald mals. Van die datalekken hebben we de laatste tijd voorbeelden te over. Dat van Smulders is iets wat veelvuldig voorkomt, met name vanwege de houding "daar heb ik geen verstand van en wil ik ook geen verstand van hebben". Zoals de wet stelt: niks mee te maken, je zorgt maar dat het geregeld is. Buiten dit zul je ook rekening moeten houden met het feit dat anderen waarmee je zaken doet of gaat doen wel aan de wet willen voldoen en je zodoende via die weg het nodige vragen. M.a.w. je zult dan alsnog het nodige op papier moeten hebben staan. Zo niet, dan zoeken ze een ander. Zo werkt het vandaag de dag toch al, men vraagt om bepaalde certificeringen e.d.
En wie toch al verantwoordelijk omging met dit soort gegevens hoeft inderdaad niks te vrezen want die had toch al zo’n administratie en afspraken 
Het gaat er namelijk om dat je je bewust bent van dit soort gegevens en goed uit kunt leggen wat je er precies mee doet naast dat je ook waarborgt dat ze niet uitlekken. Zo superspannend is de nieuwe wetgeving dan nou ook weer niet.
Overigens is het een misvatting om te denken dat de wet pas dit jaar van kracht wordt. De wet is namelijk al sinds 24 mei 2016 van kracht. Wat dit jaar gebeurd is dat het AP daar nu ook handhavend mee mag optreden en dus boetes uitdelen. Dat hebben ze zo gedaan om een overgangsperiode te creëren. Wanneer je dus nu nog bezig moet met die wetgeving ben je echt rijkelijk laat.
Dank je voor de helder uiteenzetting! Ik hoef me dus geen zorgen te maken, ondangs alle enge verhalen.