Column


IT-jurist Peter van Schelven over...

Helpdesk, privacy en security

In de ICT-praktijk van alledag worden talloze supportcontracten afgesloten. Deze contracten verplichten de betrokken softwareleverancier veelal om telefonische of online helpdeskdiensten te verlenen. De privacy- en securityparagraaf in deze contracten is soms niet of slechts heel mager geregeld.

Wie in het gebruik van software bepaalde problemen of incidenten ervaart en vervolgens contact opneemt met de helpdesk van de betrokken producent of leverancier, kan te horen krijgen dat het voor het zoeken naar een oplossing nodig is dat de medewerkers van de helpdesk toegang tot de database van het systeem krijgen. In dat geval kunnen die medewerkers wellicht inzage krijgen in de in het systeem vastgelegde persoonsgegevens. Daarmee komen de spelregels op het gebied van de bescherming van persoonsgegevens in het vizier.

Contract én selectieproces
Doorgaans is de partij die helpdeskdiensten verleent een verwerker in de betekenis die de Algemene Verordening Gegevensbescherming (AVG) eraan geeft. Partijen moeten in dat geval een verwerkerscontract sluiten, waarin de nodige waarborgen voor een zorgvuldige omgang met persoonsgegevens zijn opgenomen.

Maar de AVG gaat nog een stap verder. Los van het feit dat er een deugdelijk verwerkerscontract moet worden gesloten, mag je als opdrachtgever volgens artikel 28 lid 1 van de AVG alleen in zee gaan met een betrouwbaar te achten verwerker. Dat noopt dus tot een zorgvuldig selectieproces, bij voorkeur met duidelijke selectiecriteria: welke partij die helpdeskdiensten verleent deugt wel en welke niet? Enkel een goed contract is juridisch gezien dus niet voldoende.

Bij het inschakelen van een helpdesk zal in het bijzonder aandacht gegeven moeten worden aan de organisatorische beschermingsmaatregelen. Zo is het van belang om stil te staan bij de vraag welke medewerker van de helpdesk toegang tot de database krijgt. Vooral als er sprake is van een helpdesk die uit een groot aantal medewerkers bestaat, is het maar zeer de vraag of zij allen de bevoegdheid moeten hebben de database te benaderen.

Een dergelijk open model is zowel voor de helpdesk zelf als voor de opdrachtgever weliswaar praktisch, maar vanuit een optiek van de bescherming van persoonsgegevens minder wenselijk. Zeker als bijzondere gegevens in het spel zijn, zoals gezondheidsgegevens of gegevens over iemands politieke voorkeuren, is zo’n open model juridisch kwestieus.

Veilige aanpak
In een meer veilige aanpak wordt een helpdeskmedewerker telkens van geval tot geval geautoriseerd voor toegang tot een database met persoonsgegevens. Toegegeven: zo’n werkwijze is in de praktijk vaak te omslachtig. Het zet immer de snelheid van handelen onder druk en daarmee ook de haalbaarheid van de voor de helpdeskdiensten overeengekomen servicelevels. Wie alle belangen – dus niet alleen die van de eigen organisatie, maar vooral ook die van de burgers van wie gegevens zijn vastgelegd – op een zorgvuldige manier tegen elkaar afweegt, moet in de gevallen waarin een stevige bescherming van persoonsgegevens geboden is, tot de conclusie komen dat de toegang van de helpdesk zoveel mogelijk moet worden beperkt. Dat is dus een kwestie van een stevige belangenafweging. De AVG vereist zo’n afweging.

Autorisatiebeleid
Ben je van plan in zee te gaan met een partij die helpdeskdiensten verleent, dan doe je er verstandig aan nog voor het aangaan van een supportcontract stil te staan bij het autorisatiebeleid van de dienstverlener. Doe je dat niet, dan schend je het door de AVG voorgeschreven proces van zorgvuldige selectie.

Een punt van aandacht is ook de vraag welke personen aan de zijde van de opdrachtgever precies om hulp van een helpdesk mogen vragen. Ook de helpdesk wenst immers te weten wie er vanuit de organisatie van de klant aanklopt. Een goed supportcontract geeft dan ook regels over de vraag wie als contactpersonen mogen optreden. Dergelijke contracten regelen idealiter het proces van registratie van nieuwe contactpersonen.

Helpdesk, privacy en security: met de komst van de Algemene Verordening Gegevensbescherming zal dit drieluik meer aandacht behoeven.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.      

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over