[gdpr] Wie is processor bij een saas implementatie - Algemene zaken

vrijdag 22 oktober 2021 10:51

Acties:

0 Henk 'm!

Niente baffi

Topicstarter

Ik worstel al een tijdje met de exacte definitie van processor in GDPR. Hopelijk is hier iemand die het mij goed kan uitleggen.

Stel, je bent een IT dienstverlener en richt voor klanten software in. De klant kiest ervoor om een Saas oplossing af te nemen en geeft de dienstverlener toegang tot de Saas oplossing om de boel in te richten. Er is een direct contract tussen klant en saas oplossing. De dienstverlener schrijft vervolgens software, zet de boel op de saas oplossing. Daarnaast maakt de dienstverlener in de saas oplossing o.a een contact formuliertje dus er gaan persoons gegevens verwerkt worden en zet de boel live.

De dienstverlener behoud toegang tot de productie omgeving voor support.

Is de dienstverlener in dit geval verwerker/processor? Of juist de Saas partij. Of beide?

[ Voor 4% gewijzigd door bonzz.netninja op 22-10-2021 10:53 ]

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

vrijdag 22 oktober 2021 14:44

Acties:

0 Henk 'm!

MikeN

Aangenomen dat de klant hier degene is die de doelen en wijze van verwerking bepaalt van de data, zal die verwerkingsverantwoordelijke/controller zijn.

De overige mensen met toegang tot de data zijn verwerker/processor. In dit geval dus de dienstverlener én de SaaS-aanbieder.

Maar het hangt van de dienstverlening af. Want als jij als klant een opdracht geeft en de aannemer vervolgens bepaalt hoe ze die uitvoeren, kan het ook zomaar zijn dat je beide controller bent.

Disclaimer: IANAL, je kan dit soort dingen beter checken bij je eigen jurist i.p.v. op een forum.

vrijdag 22 oktober 2021 15:11

Acties:

0 Henk 'm!

Wormaap

MikeN schreef op vrijdag 22 oktober 2021 @ 14:44:
Maar het hangt van de dienstverlening af. Want als jij als klant een opdracht geeft en de aannemer vervolgens bepaalt hoe ze die uitvoeren, kan het ook zomaar zijn dat je beide controller bent.

Dit gebeurt niet heel snel. De scheiding tussen controller en processor zit hem hoofdzakelijk in het bepalen van het doel van de verwerking. Hoe dat doel exact bereikt wordt mag een processor veelal zelf bepalen. Een kort citaat uit het IAPP handboek over European Data Protection Law:

The controller can delegate the determination of the means of processing to a processor, as far as technical or organisational questions are concerned. This division is reflected in the obligations which the Regulation imposes directly on processors: security, recording-keeping, notifying controllers of data breaches and ensuring they comply with the restrictions on international data transfers set out in Chapter V of the Regulation. This recognises that processors frequently have a very wide degree of discretion in how they carry out their duties, but these obligations all relate to the ‘how’. Obligations relating to purpose, such as ensuring processing has a lawful ground and respecting data subjects’ rights, are only imposed on the data controller.

Emphasis mine

Om de vraag van de TS te kunnen beantwoorden graaf ik even de definitie van processor op:

The Regulation defines a processor as ‘a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller’.

Dus, als we data 'processen' en dat doen 'on behalf of the controller', dan zijn we een processor.

Dan de definitie van 'processing':

any operation or set of operations which is performed on personal data or on sets of
personal data, whether or not by automated means, such as collection, recording,
organisation, structuring, storage, adaptation or alteration, retrieval, consultation,
use, disclosure by transmission, dissemination or otherwise making available,
alignment or combination, restriction, erasure or destruction.

Dus, met de hele dikke disclaimer dat ik wel CIPP/E heb, maar dit niet mijn dagelijks werk is en ik ook zéker geen jurist ben, zou ik verwachten dat zowel de leverancier van de SaaS-oplossing als de dienstverlener een processor zijn, als ze 'iets' doen met de persoonsgegevens die de opdrachtgever daar stalt.

Ticking away, the moments that make up a dull day

vrijdag 22 oktober 2021 15:26

Acties:

+1 Henk 'm!

MikeN

Dit gebeurt niet heel snel. De scheiding tussen controller en processor zit hem hoofdzakelijk in het bepalen van het doel van de verwerking.

Goede toevoeging en ik was inderdaad niet erg precies. Ik plaatste m'n reservering vooral omdat het over een 'dienstverlener' ging, en er weleens diensten denkbaar zijn waarbij de dienstverlener controller is. Het was vooral even om aan te geven dat er adhv een paar regeltjes op een forum niet direct een waterdicht antwoord te geven is.

vrijdag 22 oktober 2021 15:49

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

Topicstarter

Dat verwacht ik gelukkig niet en dit is al wel interessant.

Disclaimer: IANAL, je kan dit soort dingen beter checken bij je eigen jurist i.p.v. op een forum.

Nou niet zo bescheiden

Onze jurist spreek ik dinsdag maar het is in principe geen bijzonder situatie dus vond dat ik het wel hier kon vragen

Daarnaast zijn hier allemaal slimme koppen die wel begrijpen hoe een saas oplossing in elkaar zit.

Toegang betekent niet direct verwerker, dat is te kort door de bocht. Ik zou namelijk zeggen dat een dienstverlener, als die alleen heeft geholpen met de initiële setup op de saas oplossing en daarna alleen door ontwikkeling doet, niet de gegevens aan het verwerken is. Dat is immers de saas partij.
De dienstverlener doet helemaal niks met data en verwerkt die ook niet volgens mij.

Bijvoorbeeld een partij die office 365 afneemt bij MS, maar een dienstverlener heeft gevraagd voor de initiële setup van sharepoint, en daarna alleen webparts (bestaat dat nog?) maakt voor ze.

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

vrijdag 22 oktober 2021 16:06

Acties:

+1 Henk 'm!

Wormaap

Omdat je de vraag vrij generiek stelt is het lastig om er echt eenduidig iets van te kunnen vinden. De definitie van processing is aardig ruim, dus daar ben je vrij snel mee bezig, ook als je vindt dat dat niet is wat je doet. Als je als bedrijf niets doet dat onder die definitie valt, dan zou je geen processor hoeven te zijn. Maar als je tijdens supportwerkzaamheden even wat oude records opruimt of een scriptje draait dat oplost dat door een fout in je webformulier voor- en achternamen omgedraaid zijn (ik verzin maar wat

) ben je in principe al aan het verwerken.
'Retrieval' en 'consultation' doe je bijvoorbeeld ook al snel als je gaat troubleshooten.

[ Voor 7% gewijzigd door Wormaap op 22-10-2021 16:07 ]

Ticking away, the moments that make up a dull day

vrijdag 22 oktober 2021 16:18

Acties:

+1 Henk 'm!

bonzz.netninja

Niente baffi

Topicstarter

Ja dat is waar natuurlijk. Ik werk er nu toch al een tijd mee in mijn rol maar blijf toch vaak het lastig vinden om goed helder te krijgen wanneer je verwerker bent en wanneer niet. Dat is helemaal niet zo evident vaak en intern hebben we ook flink wat discussie over.

Ik update het topic wel volgende week met de de zienswijze van onze jurist

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

vrijdag 22 oktober 2021 16:30

Acties:

+1 Henk 'm!

Wormaap

bonzz.netninja schreef op vrijdag 22 oktober 2021 @ 16:18:
Ik update het topic wel volgende week met de de zienswijze van onze jurist

Ben ik benieuwd of je hem/haar daadwerkelijk zover krijg concrete uitspraken te doen. Probleem is dat het interpreteren van wetteksten ook voor juristen lastig is, en er pas échte duidelijkheid is als de rechter d.m.v. een uitspraak teksten gaat uitleggen. Maarja, daar wil je dan doorgaans weer liever niet de ontvangende kant van zijn

En jurisprudentie vinden die écht duidelijk toepasbaar is op een specifiek geval is ook vaak niet mogelijk.

Ticking away, the moments that make up a dull day

dinsdag 2 november 2021 09:03

Acties:

+1 Henk 'm!

Wormaap

bonzz.netninja schreef op vrijdag 22 oktober 2021 @ 16:18:
Ik update het topic wel volgende week met de de zienswijze van onze jurist

Ticking away, the moments that make up a dull day

dinsdag 2 november 2021 10:10

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

FWIW:

bonzz.netninja schreef op vrijdag 22 oktober 2021 @ 15:49:
Toegang betekent niet direct verwerker, dat is te kort door de bocht. Ik zou namelijk zeggen dat een dienstverlener, als die alleen heeft geholpen met de initiële setup op de saas oplossing en daarna alleen door ontwikkeling doet, niet de gegevens aan het verwerken is. Dat is immers de saas partij.
De dienstverlener doet helemaal niks met data en verwerkt die ook niet volgens mij.

Bijvoorbeeld een partij die office 365 afneemt bij MS, maar een dienstverlener heeft gevraagd voor de initiële setup van sharepoint, en daarna alleen webparts (bestaat dat nog?) maakt voor ze.

Yup. Behalve als deel van de initiële setup ook bijv een import gedaan van oude data. Dan is de migratie een (eenmalige, in tijd beperkte) verwerking.

Of zoals in de TS na afloop via support toegang kan krijgen tot de DB.

Wormaap schreef op vrijdag 22 oktober 2021 @ 16:30:
[...]
Ben ik benieuwd of je hem/haar daadwerkelijk zover krijg concrete uitspraken te doen.

Vast heel concreet: "hangt af van de specifieke situatie. Alleen in dit geval...".

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 2 november 2021 14:44

Acties:

+1 Henk 'm!

bonzz.netninja

Niente baffi

Topicstarter

Wormaap schreef op dinsdag 2 november 2021 @ 09:03:
[...]

Oja!

Hij volgde mijn lijn idd. Als je als dienstverlener alleen initieel de boel opzet, verwerk je op dat moment geen gegevens. Vervolgens worden bij livegang de data verwerkt door de saas oplossing (bijv. Episerver in dit geval, maar denk ook een sharepoint installatie) en ben je als dienstverlener niet aan het verwerken.

Voor het stukje support wel. Op dat moment log je in op productie en ga je bijv. IP adressen analyseren. Voor dat stuk zul je wel een DPA moeten opstellen.

Belangrijk is om de contractstromen goed duidelijk te hebben. Hoe lopen de contracten. Heeft klant een directe relatie met Saas of gaat die via dienstverlener. In dat geval heb je namelijk te opeens wel te maken met verwerker en een subverwerker.

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 2 november 2021 14:46

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

Topicstarter

F_J_K schreef op dinsdag 2 november 2021 @ 10:10:
FWIW:

[...]

Yup. Behalve als deel van de initiële setup ook bijv een import gedaan van oude data. Dan is de migratie een (eenmalige, in tijd beperkte) verwerking.

Of zoals in de TS na afloop via support toegang kan krijgen tot de DB.

[...]

Vast heel concreet: "hangt af van de specifieke situatie. Alleen in dit geval...".

Ja precies. En wat betreft die eenmalige verwerking (denk bijv. aan het aanmaken van beheeraccounts van de klant) kun je ook afvragen in hoeverre dat nou echt verwerken is. Het valt iig niet echt binnen de gedachten van de GDPR wetgeving en verwerkingen en waarvoor het bedoeld is.

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 2 november 2021 14:51

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

bonzz.netninja schreef op dinsdag 2 november 2021 @ 14:46:
[...]
Het valt iig niet echt binnen de gedachten van de GDPR wetgeving en verwerkingen en waarvoor het bedoeld is.

Klopt. Maar je hebt hoe dan ook grotendeels hetzelfde soort afspraken nodig (geheimhouding, etc). Of het dan A of B heet is minder relevant.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Reageer