Responsable et sous-traitant : qui engage sa responsabilité ?

Manager en onderaannemer: wie is aansprakelijk?

Juridische Watch nr. 39 – September 2021

Manager en onderaannemer: wie is aansprakelijk? Veel gegevensbeheerders maken gebruik van onderaannemers, bijvoorbeeld voor personeelsbeheer, doelgerichte reclame of gegevensbeveiliging.

Het inschakelen van een onderaannemer is niet onbelangrijk in het kader van de AVG, waarin de respectieve verantwoordelijkheden van de verschillende actoren worden vastgelegd en versterkt.

Wanneer spreken we van onderaanneming?

De CNIL noemt ter informatie een aantal organisaties:

  • IT-dienstverleners (hosting, onderhoud, enz.), software-integratoren, IT-beveiligingsbedrijven, digitale servicebedrijven,
  • Marketing- of communicatiebureaus die namens klanten persoonsgegevens verwerken en
  • In algemenere zin is dit iedere organisatie (publiek of privaat) die een dienst of voorziening aanbiedt waarbij persoonsgegevens worden verwerkt namens een andere organisatie.

Software-uitgevers of hardwarefabrikanten (badgelezer, biometrische apparatuur, medische apparatuur) die geen toegang hebben tot persoonsgegevens en deze ook niet verwerken, worden niet als onderaannemers beschouwd.

Verantwoordelijkheid van de onderaannemer versterkt door de AVG

De Europese verordening heeft tot doel om alle belanghebbenden die betrokken zijn bij de verwerking van persoonsgegevens op een evenwichtigere manier verantwoordelijk te maken.

Vooral onderaannemers zien hun rol evolueren naar een grotere proactieve rol: ze volgen niet langer alleen de instructies van de verwerkingsverantwoordelijke op, maar moeten deze, op grond van artikel 28 van de AVG, bijstaan in hun voortdurende nalevingsproces: impactanalyses, melding van inbreuken, beveiliging, gegevensvernietiging, bijdrage aan audits.

Wie is aansprakelijk? Wat zijn de risico's voor de verwerkingsverantwoordelijke?

Vóór de inwerkingtreding van de AVG moest de verwerkingsverantwoordelijke verantwoording afleggen over de handelingen van zijn onderaannemer: laatstgenoemde moest voldoende garanties bieden om de implementatie van maatregelen inzake gegevensbeveiliging en vertrouwelijkheid te waarborgen, maar het was de verantwoordelijkheid van de verwerkingsverantwoordelijke om ervoor te zorgen dat aan deze verplichtingen werd voldaan: "de omstandigheid dat een datalek mogelijkerwijs is ontstaan door een fout van een onderaannemer, heeft geen invloed op de verplichting van de verwerkingsverantwoordelijke om nauwlettend toezicht te houden op de door laatstgenoemde uitgevoerde handelingen", zoals blijkt uit een beraadslaging van de CNIL van 6 september 2018, waarbij aan de verwerkingsverantwoordelijke een geldboete werd opgelegd.

Hoewel de AVG de verwerkingsverantwoordelijke niet ontslaat van zijn eigen verplichtingen, voorziet deze in een grotere aansprakelijkheid voor de onderaannemer.

Dit heeft de CNIL dit jaar verduidelijkt in haar eerste besluit van januari 2021.

In een geval van credential stuffing* waren de manager en onderaannemer meer dan een jaar bezig met de implementatie van de tool om aanvallen op de website te detecteren en blokkeren.

De manager kreeg een boete van 150.000 euro en de onderaannemer een boete van 75.000 euro.

De CNIL bepaalt dat "de verwerkingsverantwoordelijke moet beslissen over de implementatie van maatregelen en gedocumenteerde instructies moet geven aan zijn onderaannemer. De onderaannemer moet echter ook de meest geschikte technische en organisatorische oplossingen zoeken om de beveiliging van persoonsgegevens te waarborgen en deze aan de verwerkingsverantwoordelijke voorstellen."

Allereerst: leg de rollen en verantwoordelijkheden duidelijk vast in een contract

Dit contract kan geheel of gedeeltelijk gebaseerd zijn op standaardcontractbepalingen (SCC's).

Sinds 2019 hebben drie Europese gegevensbeschermingsautoriteiten (Deense, Sloveense en Litouwse) standaardcontractbepalingen voor verwerkers aangenomen, waarover de Europese Raad voor gegevensbescherming (EDPB) een advies heeft uitgebracht. Op 4 juni 2021 publiceerde de Europese Commissie haar standaardcontractbepalingen (SCC's) tussen verwerkingsverantwoordelijken en verwerkers onder de AVG en Verordening (EU) 2018/1725.

De CNIL geeft ook voorbeelden van contractuele clausules in haar onderaannemersgids.

In het contract moet het volgende worden vastgelegd:

  • Het doel en de duur van de dienst
  • De aard en het doel van de verwerking
  • Het soort persoonsgegevens dat wordt verwerkt
  • Categorieën van betrokken personen
  • Verplichtingen en rechten van de klant als verwerkingsverantwoordelijke
  • De verplichtingen en rechten van de onderaannemer zoals voorzien in artikel 28 van de AVG

De onderaannemer is in het bijzonder gebonden aan de volgende verplichtingen:

  • Benoem een functionaris voor gegevensbescherming als het een autoriteit of een overheidsorgaan betreft dat op grote schaal regelmatig en systematisch toezicht houdt op personen of op grote schaal zogenoemde ‘gevoelige’ gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt.
  • Documenteer uw onderaannemingsactiviteiten en houd een register bij van verwerkingsactiviteiten
  • Bied hulpmiddelen aan die persoonlijke gegevens respecteren (bijvoorbeeld een interface voor persoonlijke informatie, een link om u af te melden)
  • Help de gegevensbeheerder te reageren op verzoeken om de rechten van individuen uit te oefenen
  • Zorg voor de beveiliging van de verzamelde gegevens.

Beveiligingsproblemen behoren tot de problemen die het vaakst aanleiding geven tot inbreuken en geschillen. De verwerkingsverantwoordelijke wordt daarom geadviseerd om:

  • Om van de dienstverlener te eisen dat hij zijn beveiligingsbeleid voor informatiesystemen communiceert;
  • Om de doeltreffendheid van de door de onderaannemer geboden garanties op het gebied van gegevensbescherming te waarborgen en te documenteren.
  • Om de effectiviteit van de maatregelen te verifiëren, bijvoorbeeld door middel van beveiligingsaudits of een bezoek aan de faciliteiten.

* Credential stuffing is een type cyberaanval waarbij gestolen accountgegevens, meestal bestaande uit lijsten met gebruikers-ID's en bijbehorende wachtwoorden (vaak op frauduleuze wijze verkregen), worden gebruikt om ongeautoriseerde toegang te krijgen tot gebruikersaccounts via grootschalige geautomatiseerde inlogverzoeken bij webapplicaties.

En ook

Frankrijk:

Daar Datalek bij de Openbare Ziekenhuizen van Parijs (AP-HP) Er is een melding gedaan bij de CNIL over 1,4 miljoen mensen die medio 2020 op COVID-19 getest zijn. De Commissie en de regering hebben een informatienota voor de betrokkenen gepubliceerd.

ANSSI publiceert aanbevelingen betreffende de beveiliging van verbonden objecten.

A bewakings- en beschermingsdienst tegen buitenlandse digitale interferentie (Viginum) werd op 13 juli bij decreet opgericht. De missie van de organisatie is het opsporen en analyseren van vijandige Franse inhoud op digitale platformen, die vanuit het buitenland wordt georkestreerd.

Instant messaging is privécorrespondentie : in een vonnis van 23 juli besliste de industriële rechtbank van Meaux dat het bedrijf Eurodisney een werknemer niet kon ontslaan op grond van een gesprek op Messenger waartoe het geen toegang had, zelfs niet als deze berichtendienst niet met een wachtwoord was beveiligd.

Europa:

De Europese Commissie heeft op 15 september een wetgevingsinitiatief betreffende de cyberbeveiliging van verbonden objectenDit vormt een aanvulling op de voorgestelde NIS2-richtlijn over netwerkbeveiliging.

Na meer dan een jaar onderhandelen, De Verenigde Staten en Europa hebben nog geen overeenkomst bereikt over transatlantische gegevensoverdrachtenDeze gesprekken zijn bedoeld om het juridische vacuüm op te vullen dat is ontstaan door de Schrems II-uitspraak van het Europese Hof van Justitie, waarbij het Privacy Shield nietig werd verklaard.

Er worden echter wel pogingen gedaan om samen te werken, bijvoorbeeld op het gebied van kunstmatige intelligentie en de regulering van platforms die illegale online-inhoud verspreiden.

Dat blijkt uit het openingscommuniqué van de EU-VS-handels- en technologieraad van 29 september.

Sinds 27 september moeten gegevensoverdrachten naar een land buiten de Europese Unie waarvan wordt aangenomen dat het geen passend beschermingsniveau biedt, gebaseerd zijn op de gemoderniseerde versie van de standaard contractuele clausules van de Europese Commissie, gepubliceerd op 4 juni.

De Europese Toezichthouder voor gegevensbescherming heeft op 24 september een advies gepubliceerd over het voorstel van de Europese Commissie betreffende de strijd tegen het witwassen van geld, waarin hij de beginselen van noodzakelijkheid en evenredigheid van de verzamelde persoonsgegevens benadrukt.

De Belgische autoriteit heeft op 23 september een mededeling gepubliceerd over de verlenging van het gebruik van de Covid-veilig Toegangskaartje tot plaatsen en gebeurtenissen uit het dagelijks leven.

Het herinnert aan de verplichting om de noodzaak en proportionaliteit van deze ‘gezondheidspas’ aan te tonen en aan de inmenging in het privéleven die dit met zich meebrengt.

De Ierse autoriteit wordt binnen de gegevensbeschermingswereld nog steeds gezien als een knelpunt als het gaat om naleving van de AVG..

Laten we niettemin zijn mededeling van 17 september, samen met de Italiaanse autoriteit, betreffende deimpact van Facebook-bril video- en fotofuncties op het gebied van privacy.

Tegelijkertijd, De Noorse autoriteit heeft aangekondigd dat ze Facebook niet langer zal gebruiken voor haar communicatie, na een gegevensbeschermingseffectbeoordeling.

DE Ministerie van Defensie van Litouwen in een mededeling van 21 september aanbevolen om de Chinese telefoons zoals Xiaomi Corp., dat software integreert om bepaalde berichten te detecteren en censureren.

Internationaal :

De eerste G7 van gegevensbeschermingsautoriteiten bracht op 7 en 8 september de autoriteiten van Frankrijk, Italië, Canada, Groot-Brittannië, Duitsland, Japan en de Verenigde Staten bijeen, onder voorzitterschap van het Verenigd Koninkrijk.

De autoriteiten bespraken internationale kwesties rond gegevensbescherming, waaronder grensoverschrijdende gegevensstromen, kwesties met betrekking tot de pandemie en de ontwikkeling van kunstmatige intelligentie.

Uruguay, door de Europese Unie beschouwd als een land dat een passend niveau van bescherming van persoonsgegevens garandeertheeft zijn eigen beoordeling bijgewerkt van de landen waarnaar gegevensoverdracht wettelijk mogelijk is.

Deze beoordeling sluit de Verenigde Staten uit landen met een passend beschermingsniveau.

Gegevensoverdrachten tussen Uruguay en de Verenigde Staten moeten voortaan aan specifieke garanties voldoen, zoals naleving van passende contractuele clausules.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL