Privacy in de wolken, realiteit op de grond

Een bestuursorgaan is verantwoordelijk en altijd aansprakelijk voor de beveiliging van persoonsgegevens, ook als die in de cloud staan, of via een smartphone van buiten de organisatie benaderbaar zijn.

Eén van de onderwerpen op de Ambtenaar 2.0 Dag in Rotterdam betrof de juridische aspecten die nopen tot het hebben van een Bring Your Own Device (BYOD)-beleid binnen overheidsorganisaties. Een relevante vraag die onder de deelnemers van de door mij gegeven workshop leefde was: ‘Wie draait er op voor de beveiliging van persoonsgegevens die van buiten de organisatie toegankelijk zijn via een smartphone of een tablet?’ Daarbij gaat het dus om de data die binnen een organisatie beschikbaar zijn, maar die ook van buitenaf met een login en wachtwoord benaderbaar zijn voor medewerkers. En ook omgekeerd is die vraag relevant: wie is er aanspreekbaar voor persoonsgegevens die door een medewerker vanaf een smartphone of tablet, dus buiten de eigen organisatie om, ergens in de cloud zijn gezet?

Wbp

Wanneer de term privacy valt, kijkt de jurist allereerst naar de Wet bescherming persoonsgegevens (Wbp). Die in 2001 tot stand gekomen wet is de Nederlandse implementatie van de Europese Privacyrichtlijn. Het doel van die richtlijn was harmonisering van privacybescherming in Europa, aangezien door de opkomst van internet de bescherming van privacy niet alleen meer een nationale zaak was. De wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op de verwerking van persoonsgegevens die in een bestand zijn of worden opgenomen. Deze verwerking dient dan plaats te vinden in het kader van activiteiten van een ‘verantwoordelijke’ in Nederland.

In artikel 1 van de wet valt te lezen dat de verantwoordelijke het bestuursorgaan is dat alleen of tezamen met anderen het doel en de middelen voor de verwerking vaststelt. Die verantwoordelijke is verplicht om passende technische en organisatorische beveiligingsmaatregelen te nemen zodat persoonsgegevens beveiligd zijn tegen verlies of tegen onrechtmatige verwerking. Daarbij kan onder meer gedacht worden aan onbevoegde kennisneming, wijziging of de verstrekking aan derden.

Artikel 15 verplicht de verantwoordelijke bovendien om zorg te dragen voor de daadwerkelijke naleving van die beveiligingsmaatregelen. Over de medewerkers zelf zegt de wet dat zolang zij onder het gezag handelen van de verantwoordelijke, persoonsgegevens slechts mogen worden verwerkt in opdracht van de verantwoordelijke. Het uitgangspunt is dus dat het bestuursorgaan verantwoordelijk en altijd aansprakelijk is, en dat deze verantwoordelijke aan zijn medewerkers aanwijzingen dient te geven. Een organisatie die te maken krijgt met medewerkers die gebruik willen maken van een eigen device, doet er daarom verstandig aan om niet alleen technische en organisatorische maatregelen te nemen, maar deze ook vast te leggen in een interne instructie. Via het ambtenarenrecht kan de naleving van deze instructies worden afgedwongen.

Geheimhoudingsverplichting

De eigenaar van het device, de medewerker die dus onder het gezag van de verantwoordelijke werkt, heeft op grond van de Wbp een uitdrukkelijke geheimhoudingsverplichting. Voor de meeste ambtenaren geldt dat zij die verplichting toch al hadden op grond van de Ambtenarenwet. Ambtenaren zijn verplicht tot geheimhouding van alles dat hen in verband met hun functie ter kennis is gekomen, voor zover van die informatie duidelijk is dat deze geheim moet blijven. Persoonsgegevens vallen daar in beginsel ook onder. Bovendien hebben ook niet-ambtenaren op grond van de Algemene wet bestuursrecht die geheimhoudingsplicht indien zij werkzaam zijn bij de uitvoering van de taak van een bestuursorgaan.

Hoewel ik nu een antwoord heb gegeven op de eerste vraag en we nu weten dat de organisatie zelf verantwoordelijk is – en dus ook aanspreekbaar – voor de beveiliging van persoonsgegevens die van buiten de organisatie toegankelijk zijn via een smartphone of een tablet, is er nog geen antwoord op de tweede vraag: wat als een ambtenaar zelfstandig en buiten wetenschap van zijn organisatie om kiest voor het plaatsen van persoonsgegevens in de cloud? In beginsel gelden ook in deze situatie dezelfde antwoorden als bij de eerste vraag. Ook dit zijn handelingen waarop de geheimhoudingsplicht van toepassing is en die gebeuren onder het gezag van de verantwoordelijke. Dat gezag kan bijvoorbeeld blijken uit het bestaan van een aanstellingsbesluit, uit de bevoegdheid om ten aanzien van werkzaamheden inhoudelijke instructies te geven of uit bevoegdheden ten aanzien van werktijden, representativiteit of andere vormen van werkdiscipline. Alleen indien iemand naar eigen goeddunken werkzaamheden kan weigeren, is er geen sprake van gezag.

Dropbox en Google docs

Een relevante uitzondering op de toepassing van de Wbp is de verwerking van persoonsgegevens ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. Het op een smartphone of tablet maken van aantekeningen voor eigen gebruik valt daar bijvoorbeeld onder. Ook het delen van persoonsgegevens op een sociaal netwerk, op Dropbox of bijvoorbeeld Google docs, kan onder deze uitzondering vallen, zolang er maar een beperkt aantal personen toegang kunnen krijgen tot die informatie. De uitzondering is echter niet van toepassing indien de informatie niet is afgesloten met een wachtwoord of indien er sprake is van een groot aantal contactpersonen of vrienden die toegang hebben tot de informatie. Hoe groot dat aantal dan precies is, daar heeft de rechtspraak nog geen eenduidig antwoord op gegeven.

Mijn advies is om als organisatie nu eerst na te denken over de wijze waarop er binnen en buiten uw organisatie wordt omgegaan met vraagstukken rondom persoonsgegevens, BYOD en clouddiensten. Beschouw de privacywetgeving daarbij als een faciliterend kader in plaats van als een belemmering.

Mr. Dr. Mathieu Paapst is universitair docent bij de Rijksuniversiteit Groningen. Daarnaast is hij als adviseur verbonden aan het adviesbureau ICTRecht.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren