Home > Privacyrecht > Google lanceert bewerkersovereenkomst voor Google Analytics, maar voldoet deze ook aan het privacyrecht?
Google lanceert bewerkersovereenkomst voor Google Analytics, maar voldoet deze ook aan het privacyrecht?

Google lanceert bewerkersovereenkomst voor Google Analytics, maar voldoet deze ook aan het privacyrecht?

Webwereld bericht dat Google heeft besloten een bewerkersovereenkomst aan te bieden aan alle Europese klanten van Google Analytics. Hiermee zouden zij voldoen aan het Europese privacyrecht. De vraag is ook of dat zo is.

Bewerkersovereenkomst vereist bij uitbesteding verwerking persoonsgegevens

Op grond van artikel 14 Wet bescherming persoonsgegevens (Wbp) is het verplicht om een bewerkersovereenkomst te sluiten indien de verwerking van persoonsgegevens wordt uitbesteed. Die verplichting komt voort uit de Europese privacyrichtlijn en geldt dus (via nationale wetten) voor alle bedrijven en instellingen in de gehele Europese Unie.

IP-adressen voglens toezichthouders ook persoonsgegevens

Volgens de privacytoezichthouders zijn IP-adressen in de regel ook te kwalificeren als persoonsgegevens. Bij het gebruik van webanalyse software – als Google Analytics – worden IP-adressen doorgestuurd aan de aanbieder van de analysedienst. Het verbaast dan ook niet dat recent het College Bescherming Persoonsgegevens nog concludeerde dat gebruikers van Google Analytics een bewerkersovereenkomst zouden moeten sluiten met Google. Tot voor kort weigerde Google dit echter.

Bewerkersovereenkomst aangeboden door Google

Volgens het bericht van Webwereld heeft Google recent besloten alsnog een bewerkersovereenkomst aan haar Europese klanten aan te bieden. Dit document heb ik nog niet volledig kunnen onderzoeken. Bij eerste indruk valt echter het volgende op.

Het CBP heeft enige tijd geleden in het rapport Beveiliging van persoonsgegevens laten weten welke elementen volgens het CBP in een bewerkersovereenkomst moeten terugkomen. Wanneer ik deze elementen (die citeer ik hieronder) leg naast de bewerkersovereenkomst van Google, kom ik tot de volgende conclusies (op basis van een eerste snelle analyse van de overeenkomst):

Eis CBP Bewerkersovereenkomst Google
Beveiligingseisen in de bewerkersovereenkomst. Er is een bewerkersovereenkomst waarin alle relevante afspraken zijn vastgelegd over de beveiligingsmaatregelen die de bewerker moet treffen en over de wijze waarop de verantwoordelijke toeziet op naleving. Voldoet vermoedelijk niet. Uitgangspunt van Google is immers dat zij (het niveau van) de beveiliging bepaalt. Uitgangspunt van CBP is dat de klant dit zou moeten bepalen. 
Differentiatie van de verwerkte persoonsgegevens. Het kan voorkomen dat niet alle persoonsgegevens die de bewerker verwerkt even gevoelig zijn en dat niet voor alle verwerkte persoonsgegevens dezelfde afspraken van toepassing zijn. In de bewerkersovereenkomst is in dergelijke gevallen vastgelegd welke afspraken van toepassing zijn op welke persoonsgegevens. In beveiligingsmaatregelen lijkt geen onderscheid te worden gemaakt in aard gegevens. De vraag is wel of dat bij een dergelijke dienst relevant zou zijn (aard gegevens is betrekkelijk homogeen).
De dienstverlening door de bewerker. Omschrijving van de dienst(en) die de bewerker verleent en de persoonsgegevens die de bewerker daarbij verwerkt (eventueel gedifferentieerd op basis van gevoeligheid). Verder wordt omschreven welke (groepen) medewerkers van de bewerker toegang hebben tot welke persoonsgegevens en welke handelingen deze medewerkers uit mogen voeren met de persoonsgegevens. Er is een expliciet verbod opgenomen om andere handelingen met de persoonsgegevens uit te voeren dan wat hier is omschreven. Diensten zijn niet echt afgebakend. Wordt verwezen naar Google Analytics contract, dat onderhevig is aan wijzigingen.Verder omschrijft Google wel dat er procedures zijn om te borgen dat alleen bevoegde mensen toegang krijgen tot gegevens, maar onduidelijk is wie er bevoegd is.Op zichzelf bevat overeenkomst inderdaad beperking gebruik persoonsgegevens voor verwerkingsdoeleinden (artikel 5.2), maar zodra er een andere Google dienst wordt gebruikt geeft klant op grond van artikel 5.3 al toestemming voor verder gebruik. Dat laatste is wel erg ruim omschreven en lijkt op gespannen voet te staan met gedachte bewerkersovereenkomst.
De betrouwbaarheidseisen die op de verwerking van toepassing zijn. Weergave van de betrouwbaarheidseisen die op de verwerking van toepassing zijn, waar van toepassing gedifferentieerd op basis van de gevoeligheid van de verwerkte persoonsgegevens. Betrouwbaarheid ziet op beschikbaarheid, integriteit en vertrouwelijkheid (zie par. 2.2 rapport CBP). Over beschikbaarheid lijkt weinig geregeld. Over integriteit en vertrouwelijkheid komt veel terug in de bijlage bij de overeenkomst. De vraag is wel of alles voldoende concreet uitgewerkt is.
De beveiliging door de bewerker. Afspraken over de technische en organisatorische beveiligingsmaatregelen waarmee de bewerker invulling geeft aan de betrouwbaarheidseisen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de verantwoordelijke moet treffen. Deze worden nader toegelicht in paragraaf 3.2 van deze richtsnoeren. Voldoet vermoedelijk niet. Uitgangspunt van Google is immers dat zij (het niveau van) de beveiliging bepaalt. Uitgangspunt van CBP is dat de klant dit zou moeten bepalen. 
Transparantie over de beveiliging. Afspraken over de inhoud en de frequentie van de rapportages die de bewerker aan de verantwoordelijke oplevert over de beveiliging; omschrijving van het recht van de verantwoordelijke om de naleving van de beveiligingsmaatregelen door onafhankelijke deskundigen vast te laten stellen. Onafhankelijke deskundigen kunnen bijvoorbeeld it-auditors of penetratietesters zijn. Lijkt geen rapportageverplichting opgenomen. Klant lijkt het te moeten doen met algemeen beveiligingscertificaat dat op de website is gepubliceerd (artikel 6.5). Verder is er een bepaling opgenomen over een audit-recht (artikel 6.6), hoewel die bepaling wat onduidelijk geformuleerd is.
Transparantie over opgetreden beveiligingsincidenten. Afspraken over de inhoud van rapportages over beveiligingsincidenten en datalekken, de criteria voor rapportage van incidenten en de snelheid waarmee wordt gerapporteerd. In de afspraken is opgenomen dat de bewerker beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen meteen rapporteert en dat de bewerker waar nodig ook meewerkt aan het adequaat informeren van de betrokkenen. Google is verplicht de klant te informeren bij beveiligingsincidenten (artikel 6.3), zij het dat die verplichting niet absoluut is. Onduidelijk is of informeren betrokkenen onder het artikel valt.
Verwerking door subbewerkers. Afspraken over het al dan niet toestaan van verwerking door subbewerkers, met daarbij de eventuele beperkingen. Beperkingen zijn bijvoorbeeld dat de bewerker subbewerkers mag inschakelen maar dat de subbewerkers geen subsubbewerkers in mogen schakelen of dat bij de verwerking van specifieke klassen van persoonsgegevens geen subbewerkers mogen worden ingeschakeld. Als bewerking door subbewerkers is toegestaan, dan is in de bewerkersovereenkomst opgenomen dat met de subbewerkers overeenkomsten moeten worden afgesloten en dat alle verplichtingen uit het bewerkerscontract die relevant zijn voor de beveiliging van de verwerkte persoonsgegevens daarin moeten worden overgenomen Hierover zijn afspraken opgenomen (zie artikel 10). Opmerkelijk is wel dat in artikel 10.2 staat dat subbewerkers slechts de minimale criteria van Safe Harbor moeten naleven, in plaats dat de eisen uit de bewerkersovereenkomsten worden doorgegeven. Dat lijkt aldus niet te voldoen aan voornoemde eis.
Verwerking van de persoonsgegevens buiten Nederland. Afspraken over welke persoonsgegevens in welke landen worden verwerkt. Uit artikel 9.1 volgt dat Google de persoonsgegevens wereldwijd mag verwerken. In artikel 9.2 is bepaald dat daarbij ten minste aan Safe Harbor wordt voldaan. Verder gaat de bewerkersovereenkomst echter niet.Aan de kennelijke gedachte van het CBP – weet waar uw persoonsgegevens zijn – wordt dus waarschijnlijk niet voldaan.
Voorwaarden voor heronderhandeling of beëindiging van de overeenkomst. Afspraken over heronderhandeling van de bewerkersovereenkomst als een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen daar aanleiding toe geeft. Bij de afspraken is ook een noodplan opgenomen voor het geval een van de partijen de relatie wil beëindigen voor het einde van de looptijd van de overeenkomst. Verder is vastgelegd hoe en in welke vorm de verantwoordelijke de verwerkte persoonsgegevens weer ter beschikking krijgt en hoe wordt geborgd dat de bewerker na het beëindigen van de relatie niet meer over de persoonsgegevens kan beschikken. De looptijd van de bewerkersovereenkomst is gelijk aan die van de overeenkomst voor Google Analytics (artikel 3). Er zijn overigens geen bepalingen opgenomen over het heronderhandelen of wijzigen van de overeenkomst indien daartoe aanleiding bestaat. Er is een bepaling over het ter beschikking stellen van de data (artikel 8), maar onduidelijk is wat hier nu concreet van is te verwachten. Er is bepaald dat na afloop van de looptijd gegevens worden verwijderd (artikel 7), maar hierbij staat dat geschiedt in overeenstemming met de overeenkomst voor Google Analytics. De vraag is dus wat daar staat over het blijvend gebruiken van gegevens (niet onderzocht).

Voorlopige conclusie

Zoals gezegd, het voorgaande is slechts een voorlopige eerste analyse op basis van een eerste blik op de bewerkersovereenkomst. Met alle “mitsen en maren” die daarbij horen, concludeer ik dat deze bewerkersovereenkomst waarschijnlijk niet voldoet aan de maatstaven die het CBP daar aan stelt. Het is dan ook de vraag of Nederlandse gebruikers van Google Analytics veel op zullen schieten door deze bewerkersovereenkomst te sluiten. We zullen zien hoe deze kwestie zich ontwikkelt en houden u op de hoogte.

 

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Naar boven scrollen