Column


IT-jurist Peter van Schelven over...

Mag de AP uw software onderzoeken?

Bedrijven en organisaties in Europa – groot en klein – moeten er volgend jaar mei aan geloven. Dan dienen zij te voldoen aan de nieuwe Europese privacyregels uit de Algemene Verordening Gegevensbescherming (AVG). Voor velen geen eenvoudige klus, zeker nu blijkt dat zo’n 60 procent van de mkb’ers in ons land niet weet dat over ruim tien maanden de nieuwe privacywet van kracht wordt.

De Europese wet is echter niet de enige set spelregels over de bescherming van persoonsgegevens waar rekening mee moet worden gehouden. Naast – en in aanvulling op – de AVG komen de individuele lidstaten van de EU afzonderlijk ook nog met landelijke privacywetgeving. Zo ook in Nederland, waar de zogeheten Uitvoeringswet AVG (UAVG) in de maak is. Voor u geldt in mei 2018 dus: AVG + UAVG. Prettige wedstrijd!

Raad van State
Naar verluidt ligt het nog niet gepubliceerde wetsvoorstel voor de UAVG momenteel voor advies bij de Raad van State. Het valt te verwachten dat niet lang na de zomervakantie het wetsontwerp naar de Tweede Kamer gaat. We weten nu dus nog niet precies welke extra regels er met de UAVG de wereld in geslingerd gaan worden.

Wel is eerder een eerste voorontwerp op de publieke consultatiesite van de rijksoverheid geplaatst. Dat voorontwerp heeft vanuit de Nederlandse samenleving 67 kritische reacties opgeleverd, dus de kans is groot dat het uiteindelijke wetsontwerp daarvan zal gaan afwijken.

Versterking privacywaakhond
Inmiddels heeft de Autoriteit Persoonsgegevens een advies over de komende UAVG aan het ministerie van Veiligheid en Justitie gegeven. Dat omvangrijke advies is te vinden op de site van de privacywaakhond.

Wanneer je dat leest, dan valt op dat de toezichthouder vooral haar eigen positie binnen de overheid en in het maatschappelijk verkeer probeert te versterken. Het advies gaat dus voor een groot deel over de Autoriteit Persoonsgegevens zelf.

Privacy by design
Het wensenlijstje van de Autoriteit Persoonsgegevens betreft onder andere de software waarmee persoonsgegevens worden verwerkt. De toezichthouder bepleit dat uitdrukkelijk wordt vastgelegd – hetzij in de tekst van de UAVG zelf dan wel in de bijbehorende toelichting – dat zij het recht krijgt software te onderzoeken.

Zo op het eerste gezicht is dat geen vreemde gedachte. Immers, bedrijven en organisaties zijn op grond van de AVG verplicht om ICT te gebruiken die volgens het principe van ‘privacy by design’ is gemaakt. In de kern komt dat beginsel erop neer dat softwarecode ‘privacy-proof’ is ontworpen. Nu de AVG een regeling daarover bevat, moet de toezichthouder de naleving ervan kunnen toetsen. Een onderzoeksbevoegdheid lijkt daarom zo gek nog niet.

Arbitrair normenkader?
Toch zou het getuigen van wijsheid als de wetgever – regering en parlement – de verlangde onderzoeksbevoegdheid niet klakkeloos overneemt. Het is immers niet moeilijk een top 10 van bezwaren te maken. Ik noem hier slechts drie punten.

Ten eerste: de AVG bevat op het vlak van security en ‘privacy by design’ louter bezwerende toverformules. Er staat geen kwaad of verkeerd woord tussen, dus niemand is echt tegen. Maar het is en blijft juridische prietpraat. Wie in de tekst van de AVG naar de operationalisering van de securityverplichtingen zoekt, komt bedrogen uit. Op geen enkele wijze maakt de AVG duidelijk wat voldoende veilige software is.

De Europese wetgever laat de makers en gebruikers van software in dit opzicht compleet met lege handen staan. Heeft de Autoriteit Persoonsgegevens die wijsheid wel in pacht? Ik betwijfel het. Bovendien bestaat het risico dat de toezichthouder geheel arbitrair een eigen normenkader voor zijn softwaretoetsen kiest. Dus: waar zijn de makers en gebruikers van software precies aan toe? Aan welke normen zal worden getoetst? Wie het weet mag het zeggen.

Externe software?
Ten tweede: wie software wenst te gebruiken kan – zoals bekend – het benodigde product in eigen huis halen dan wel op basis van een SaaS-contract aanschaffen. In dat laatste geval draait de software dus bij een externe provider en heeft de gebruiker het product feitelijk niet in bezit. De vraag dient zich aan of het onderzoeksrecht dat de Autoriteit Persoonsgegevens wenst te krijgen, zich ook tot SaaS-verhoudingen uitstrekt.

Zou het antwoord op die vraag ja zijn, dan strekt de arm van de toezichthouder zich ook uit tot externe software. Willen we zo’n veelomvattende regeling eigenlijk wel? En wat betekent zoiets voor SaaS-providers? Er is niet veel fantasie voor nodig om een karrenvracht aan problemen te verwachten.

Softwarelicenties op de schop
Ten derde: de meeste softwarelicenties die ik ken, zijn niet of onvoldoende afgestemd op een onderzoeksrecht van de privacytoezichthouder. Licentievoorwaarden verbieden of belemmeren derden doorgaans de toegang tot de in gebruik gegeven software. Als de wetgever onderzoek naar software door de Autoriteit Persoonsgegevens mogelijk wil maken, dan zullen miljoenen softwarelicenties moeten worden aangepast. Krijgt de Autoriteit Persoonsgegevens haar zin, dan verwacht ik een forse druk op de praktijk van de softwarecontracten. Gooien we dat schepje ook nog eens bovenop de voor velen al loodzware AVG?

Kortom, het zou niet misplaatst zijn als de wetgever kritische noten plaatst bij het advies dat de Autoriteit Persoonsgegevens over de UAVG heeft gegeven. Ik roep mijn vrienden en vriendinnen van de softwaresector op waakzaam te blijven. Extra waakzaam….


Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over