Datalek bij bezorgdienst: wie is verantwoordelijk?

Een herexamen moeten maken omdat je niet voldoende punten hebt gehaald om te slagen is natuurlijk vervelend. Een examen over moeten doen omdat deze is verloren of zelfs gestolen, is nog vervelender. Dit laatste overkwam leerlingen van het Rythovius College uit Eersel, zo werd begin juni bekendgemaakt. De door hen gemaakte examens waren nagekeken door de eerste corrector en waren per post onderweg naar de tweede corrector toen het mis ging. Op een onbewaakt moment zijn twee postzakken verdwenen uit de bus van PostNL, waarin de schoolexamens zaten.

Bezorgdiensten worstelen al langere tijd met de manier waarop zij moeten omgaan met situaties als hierboven omschreven. Zijn zij verantwoordelijk voor de verloren postpakketten en de gegevens die daarbij verloren gaan? Hoe kan bepaald worden welke rol bezorgdiensten innemen? Op welk moment moeten zij aan de toezichthoudende autoriteit melding maken van het verliezen van een postzak (of een enkel postpakket)? In dit artikel lees je onze bevindingen over dit onderwerp.

Verwerker en verantwoordelijke
Er is sprake van een datalek als persoonsgegevens onbedoeld of onrechtmatig worden ingezien, vernietigd, gewijzigd of anderszins vrijkomen. Datalekken moeten door de verantwoordelijke aan de toezichthoudende autoriteit gemeld worden, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokken persoon of personen. Om te beoordelen of bedrijven die gegevens/ producten van anderen vervoeren, zoals PostNL, kunnen worden gezien als verantwoordelijke van die gegevens (en dus een bepaalde mate van verantwoordelijkheid of aansprakelijkheid hebben), zijn de volgende aspecten van belang.

Allereerst moet worden bekeken wie het doel en de middelen van de verwerking bepaalt. Het vaststellen van het doel (waarom worden gegevens verwerkt?) is bij uitstek voorbehouden aan de verantwoordelijke. Het vaststellen van de middelen (hóe worden de gegevens verwerkt?) is tot op zekere hoogte ook weggelegd voor de verantwoordelijke, maar kan ook door een ingeschakelde derde (verwerker) worden bepaald. Denk bijvoorbeeld aan het faciliteren van de opslag van gegevens in de cloud, waarbij een verwerker (bijvoorbeeld Google) bepaalt hoe dit gebeurt en met welke beveiligingsmaatregelen. Het doel, het veilig kunnen opslaan van persoonsgegevens, is voorbehouden aan de verantwoordelijke (bijvoorbeeld een school).

Uitbesteden van gegevensverwerkingen – opslag is een voorbeeld van een verwerkingsactiviteit – aan onafhankelijke derde partijen zoals Google is toegestaan. Hiervoor geldt dat er afspraken moeten worden gemaakt over het doel van de uitbestede taak, de omvang van de gegevens en de technische en/of organisatorische maatregelen. Dergelijke afspraken worden over het algemeen vastgelegd in een verwerkersovereenkomst. Het is aan de verantwoordelijke om beslissingen te nemen over onder andere de rechtmatigheid van de verwerking, bewaartermijnen of voor wie data toegankelijk moet zijn. De verwerker zou anders te veel op de stoel van de verantwoordelijke komen te zitten.

Welke rol heeft een bezorgdienst?
Het is juridisch gezien niet mogelijk om rollen, zoals de verantwoordelijke of verwerker, te ‘kiezen’.  Voor de bepaling van een rol moet goed naar de feitelijke situatie gekeken worden: hoe voeren partijen in de praktijk hun werkzaamheden met betrekking tot persoonsgegevens uit? Hierbij is het van belang om per verwerking na te gaan welke rol de bezorgdienst inneemt. Een overeenkomst moet aansluiten bij de werkelijkheid, om zo de meeste waarborgen voor de betrokkene te kunnen garanderen.

Voor enkel het verzenden van de post – waarbij de bezorgdienst persoonsgegevens van de geadresseerde verwerkt om het poststuk bij de geadresseerde te kunnen bezorgen –  zal de bezorgdienst aangemerkt kunnen worden als verantwoordelijke. N.B.: omdat het gaat om gegevens van klanten (van klanten) zou overigens ook nog wel van een gezamenlijke verantwoordelijkheid met de verzendende partij sprake kunnen zijn.

De bezorgdienst bepaalt dus, al dan niet gezamenlijk, met welk doel en middel zij persoonsgegevens verwerkt. Om mogelijk te maken dat zij post kan bezorgen (het doel), maakt zij gebruik van vrachtwagens om de post bij een sorteercentrum te brengen waarna de, op postcode gesorteerde, post door postbodes op een fiets of in een auto wordt rondgebracht (de middelen). Voor dit gedeelte van de verwerking hoeven zij geen verwerkersovereenkomst af te sluiten. (De AP heeft op haar website aangegeven ook dit standpunt in te nemen, zie: deze link ).

Voor de inhoud (in dit geval van de examens) ligt het onzes inziens anders. De vraag is wie de verantwoordelijkheid draagt op het moment dat de inhoud van de post onrechtmatig wordt – of kan worden –  ingezien of verloren gaat. Beargumenteerd kan worden dat de bezorgdienst fungeert als zogenaamd doorgeefluik en dus noch verantwoordelijke noch verwerker is. Als zogenaamde ‘derde’ wordt zij gemachtigd door de verzendende partij om persoonsgegevens te verwerken. De verzendende partij blijft dan voor de inhoud van het verzonden poststuk verantwoordelijk.

Is het ook mogelijk dat de bezorgdienst in dit geval als een verwerker van de inhoud van de poststukken optreedt? Waarschijnlijk luidt het antwoord daarop: nee. Het hangt er namelijk van af of het verzenden van de inhoud van de post (dat de bezorgdienst niet in kan/mag zien vanwege het briefgeheim) als een verwerkingsactiviteit in de zin van de AVG kan worden beschouwd. Volgens de toezichthoudende autoriteit van het Verenigd Koninkrijk, het ICO, vereist de verwerking van persoonsgegevens een mate van toegang of een mogelijkheid tot gebruik ervan en niet slechts het fysieke bezit van de poststukken. Daarom kan een bezorgdienst volgens het ICO noch worden gekwalificeerd als verwerker, noch als verantwoordelijke.

Wat betekent dit nu voor de verloren postzakken met eindexamens?
Een verloren postzak met daarin eindexamens kan dus aangemerkt worden als datalek. Dit betekent dat het verlies van de (inhoud van de) postzakken gemeld moet worden aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de betrokken personen. Voor onze casus betekent dit dat ‘slechts’ het verlies van de adresgegevens door PostNL wel aangemerkt kan worden als datalek, maar dat PostNL, als verantwoordelijke, het datalek waarschijnlijk niet zal hoeven melden aan de Autoriteit Persoonsgegevens. Dit heeft er mee te maken dat het verliezen van adresgegevens er niet snel toe zal leiden dat de geadresseerde hierdoor een privacy risico zal lopen.

Voor de diefstal van de (inhoud van de) postzakken ligt dit naar onze mening anders. Er is in dat geval wel sprake van een datalek dat gemeld moet worden door de verantwoordelijke. Zowel op het moment dat de postzakken gestolen zijn, maar ook als deze verkeerd bezorgd worden, waarbij vervolgens de examens onrechtmatig ingezien zijn door anderen, zal de school hiervoor verantwoordelijk zijn op grond van de AVG. De school zal in beide gevallen het datalek moeten melden, omdat het hier gaat om een lek die een risico voor de betrokken leerlingen op kan leveren.

Overigens neemt het feit dat de verantwoordelijkheid tussen partijen vaststaat niet weg dat er afspraken gemaakt kunnen worden tussen de verzendende partij en de bezorgdienst over de mate van aansprakelijkheid. De aansprakelijkheid van een verkeerd bezorgd postpakket hangt vaak samen met de vraag bij wie de fout ligt: is de adressering onduidelijk (bijvoorbeeld een 9 die lijkt op een 8), dan kan de verzendende partij (de klant) hiervoor aansprakelijk worden gesteld. Was de adressering overduidelijk, dan is PostNL hiervoor aansprakelijk te stellen. De verdeling van aansprakelijkheid zal doorgaans contractueel worden bepaald, dan wel worden berekend aan de hand van de wettelijke aansprakelijkheidsverdeling.

AVG rolverdeler
Uit dit artikel is gebleken dat niet altijd even duidelijk is wie welke rol inneemt in de keten van gegevensverwerking. Om je op weg te helpen heeft Privacy1 dit artikel geschreven, maar ook de AVG rolverdeler ontwikkeld. In de rolverdeler wordt met behulp van voorbeelden uitgelegd met welke meest voorkomende rolverdeling organisaties te maken (kunnen) krijgen als zij met andere organisaties samenwerken en daarbij persoonsgegevens delen.

Geschreven door Judith Zwetsloot, IT-jurist bij Privacy1.

Heb je interesse in – een gratis versie van – de AVG rolverdeler of wil je meer weten over dit onderwerp? Stuur ons dan een mailtje via hallo@privacy1.nl. We helpen je graag verder!