Voorvraag 1: betreft het persoonsgegevens?
De eerste voorvraag die beantwoord moet worden is of de gegevens die geanalyseerd worden zijn aan te merken als "persoonsgegevens" of niet (zie artikel 1 sub a Wbp). Indien er sprake is van persoonsgegevens, dan zal moeten worden voldaan aan de eisen die de Wet bescherming persoonsgegevens (Wbp) stelt. Hierna in dit bericht zal ik hier nader op in gaan.
Indien er echter geen sprake is van persoonsgegevens - bijvoorbeeld omdat alleen geaggreerde/groepsgewijze gegevens worden geanalyseerd - dan is de Wbp in het geheel niet van toepassing. Het kan zijn dat in de afspraken tussen leverancier en afnemer (bijvoorbeeld de bepalingen over geheimhouding) in dat geval nog wel beperkingen staan over de omgang met de verwerkte gegevens. Op deze situatie ga ik in dit bericht verder niet in, ik veronderstel dat er sprake is van de verwerking van persoonsgegevens.
Voorvraag 2: wat is de rol van de leverancier?
De leverancier of afnemer die zich afvraagt wat de leverancier nu wel of niet met de door hem beheerde persoonsgegevens mag doen, moet vervolgens de tweede (en zeer belangrijke!) voorvraag beantwoorden: wat is de rol van de leverancier? Hierbij zijn grofweg twee situaties te onderscheiden:
- de "klassieke uitbesteding", waarbij de opdrachtgever bepaalde eigen activiteiten buiten de deur plaatst en waarbij de leverancier niets meer is dan de "verlengde arm" van de opdrachtgever;
- het door opdrachtgever afnemen van door de leverancier ontwikkelde diensten, waarbij de leverancier juist niet als "verlengde arm" van de opdrachtgever optreedt, maar zijn eigen koers vaart.
In het eerste geval kan worden gedacht aan bijvoorbeeld het uitbesteden van (onderdelen van) de eigen administratie aan een externe boekhouder of aan het inschakelen van een call center voor het afhandelen van (een deel van) het telefoonverkeer. Dergelijke dienstverleners bepalen veelal niet zelf wat er met de door hen verwerkte persoonsgegevens gebeurt, maar richten zich naar de opdracht van de opdrachtgever.
Tegenwoordig hebben steeds meer IT-diensten trekken van het tweede scenario. Bij dergelijke diensten ontstaat vaak een driehoeksverhouding van leverancier-opdrachtgever-eindgebruiker, waarbij de eindgebruiker zowel een band heeft met de opdrachtgever (bijvoorbeeld werkgever-werknemer) als met de leverancier (bijvoorbeeld door acceptatie van bepaalde eindgebruikersvoorwaarden).
Natuurlijk is de praktijk altijd weerbarstiger dan de theorie, want er zijn legio situaties denkbaar waarbij dit onderscheid helemaal niet zo scherp is te maken. Deze voorvraag is dan ook niet altijd even eenvoudig te beantwoorden. Het belang daarvan is echter wel groot, zoals we hierna zullen zien.
Gevolgen bij de klassieke uitbesteding
Het antwoord op de hiervoor vermelde (voor)vraag heeft grote juridische consequenties. De leverancier in scenario 1 ("verlengde arm") zal vanuit privacyrechtelijke optiek waarschijnlijk moeten worden aangemerkt als "bewerker".
Dat betekent ondermeer dat deze leverancier niet zelfstandig mag bepalen voor welke doeleinden de persoonsgegevens die hij beheert worden verwerkt. Die doeleinden (het "waarom" van de verwerking) worden namelijk vastgesteld door de "verantwoordelijke", of anders gezegd: door zijn klant. De klant is als "verantwoordelijke" kort gezegd verantwoordelijk (what's in a name...) en aansprakelijk voor alles wat er met de persoonsgegevens gebeurt die door deze klant worden beheerd.
Die klant heeft er - mede gelet op die verantwoordelijkheid en aansprakelijkheid - geen enkel belang bij om als doelstelling vast te stellen dat de leverancier door de gegevens mag grasduinen. Dat zal dan ook in de regel geen door de leverancier vastgesteld verwerkingsdoel zijn. Alleen om die reden al zal de IT-leverancier in dit scenario waarschijnlijk niets met de gegevens mogen doen. Overtreding hiervan zou door het College Bescherming Persoonsgegevens kunnen worden aangepakt.
Daar komt nog eens bij dat, als het goed is, in dit scenario tussen leverancier en opdrachtgever een zogenaamde "bewerkersovereenkomst" is gesloten ten aanzien van de verwerking van persoonsgegevens (zie artikel 14 Wbp). Die overeenkomst kan overigens ook onderdeel zijn van een meeromvattend contract. Onderdeel van een dergelijke overeenkomst is de afspraak dat de leverancier de persoonsgegevens niet anders dan in het kader van de dienstverlening zal verwerken. In artikel 18.1 van de ARBIT voorwaarden staat het bijvoorbeeld als volgt verwoord:
Wederpartij is niet gerechtigd om op enig moment de persoonsgegevens die zij ter beschikking krijgt op enigerlei wijze geheel of gedeeltelijk anders te (doen) gebruiken dan voor de uitvoering van de Overeenkomst een en ander behoudens afwijkende wettelijke verplichtingen.
Die afspraak wordt door de leverancier geschonden op het moment dat deze eigenstandig besluit de persoonsgegevens van zijn klanten voor eigen doeleinden te gaan gebruiken (zoals voor eigen statistische analyses). Dat betekent dat er sprake is van contractbreuk, hetgeen voor de opdrachtgever aanleiding zou kunnen geven de overeenkomst te ontbinden en/of schade op de leverancier te verhalen. Leveranciers dienen dus niet over een nacht ijs te gaan voordat ze dergelijke stappen zetten.
Let wel: het is zeker niet gezegd dat anonimiseren de oplossing vormt voor het hiervoor gesignaleerde issue. De handeling van het anonimiseren is namelijk als zodanig ook aan te merken als een verwerking van persoonsgegevens. En als die verwerking niet besloten ligt in de opdracht die de verantwoordelijke (de klant) aan zijn leverancier heeft verstrekt, dan mag de leverancier deze handeling dus in beginsel niet verrichten. Worden er echter in het geheel geen persoonsgegevens verwerkt, bijvoorbeeld door de analyse bij voorbaat al te beperken tot gegevens die niet te herleiden zijn tot natuurlijk personen, dan is de Wbp waarschijnlijk in het geheel niet van toepassing en spelen dergelijke beperkingen (dus) niet.
En de gevolgen bij de moderne uitbesteding
In het tweede scenario zijn de juridische consequenties geheel anders. In dit scenario verleent de IT-dienstverlener immers eigen diensten aan zijn opdrachtgever en eventuele derden (zoals werknemers van die opdrachtgever). Dit betekent dat de IT-dienstverlener waarschijnlijk moet worden aangemerkt als verantwoordelijke in de zin van de Wbp. Met andere woorden: het IT-bedrijf bepaalt zelfstandig het privacybeleid ten aanzien van de door hem geleverde diensten (en is daar vervolgens ook volledig voor aansprakelijk), de opdrachtgever heeft hier geen invloed op.
De gevolgen vanuit privacyrechtelijk perspectief zijn ook volledig anders: waar in een bewerkersrelatie de verantwoordelijke bepaalt of de verwerking is toegestaan of niet, wordt dit nu bepaald door de IT-leverancier zelf. Dit alles uiteraard binnen de kaders van de wet.
De IT-dienstverlener zal dan ook moeten voldoen aan alle eisen die de Wet bescherming persoonsgegevens stelt. Zo zullen de doeleinden van de persoonsgegevensverwerking moeten worden vastgesteld (artikel 7 Wbp). Deze doeleinden zullen vervolgens kenbaar moeten worden gemaakt aan de betrokkenen (artikel 33 Wbp). Dat laatste gebeurt overigens meestal via een privacy statement. Verder zullen de gegevens goed moeten zijn beveiligd (artikel 13 Wbp) en dient eventueel een melding te worden gedaan bij het CBP (artikel 27). Dit is overigens slechts een selectie van de eisen waaraan voldaan moet worden, voor een vollediger beeld zou de privacycheck doorlopen kunnen worden.
Iedere keer dat de IT-dienstverlener vervolgens - na het vaststellen en implementeen van zijn privacybeleid - iets wil doen met de persoonsgegevens - zoals het uitvoeren van een bepaalde statistische analyse - zal hij o.m. moeten toetsen of het doel van deze verwerking van persoonsgegevens is genoemd in dat privacy statement. Zo niet, dan zal moeten worden getoetst of dit doel toch ten minste is te verenigen met doeleinden die wel in dat statement staan genoemd (artikel 9 Wbp). Is dat ook niet het geval, dan is de verwerking in beginsel niet toegestaan.
Ook zal onderzocht moeten worden of er een grondslag aanwezig is voor de betreffende verwerking (artikel 8 Wbp). Voor verwerkingen die privacyrechtelijk gezien niet al te "spannende" consequenties hebben, zal die grondslag bij statistische analyses e.d. overigens meestal wel te vinden zijn in het gerechtvaardigd belang van artikel 8 sub f Wbp. Bij hele grootschalige of privacyrechtelijk anderszins "spannende" verwerkingen kan dit echter anders zijn.
Ten slotte
Tot zover enkele algemene aandachtspunten bij de vraag of een IT-leverancier al dan niet iets mag doen met de (potentieel) gouden berg(en) aan (big) data waarop hij zit. Zoals u ziet ligt het antwoord hierop zeer genuanceerd. Een IT-leverancier die veel vrijheid wil hebben tot het maken van dergelijke analyses, ontkomt er haast niet aan de rol in te nemen van "verantwoordelijke" in de zin van de Wbp (scenario 2). Die rol gaat echter ook met een behoorlijke last gepaard, rondom onder meer transparantie richting de betrokkene en aansprakelijkheden voor het geval er iets mis gaat met de persoonsgegevens. Die last zal moeten worden afgewogen tegenover de lusten die het analyseren van persoonsgegevens met zich meebrengt.
