Afnemer ASP verantwoordelijk voor persoonsgegevens

Een afnemer van een Software-as-a-Service- of een asp-dienst moet er zelf op toezien dat de aanbieder technische en organisatorische maatregelen neemt tegen verlies of onrechtmatige verwerking van de persoonsgegevens. Klakkeloos een ASP- of SaaS-aanbieder uitkiezen is niet aan te bevelen.

Bedrijven die persoonsgevens buiten de deur opslaan, dragen daar verantwoordelijkheid voor. In de Wet Bescherming Persoonsgegevens (WBP) staat, kort gezegd, dat diegene die het doel en de middelen van de verwerking van de persoonsgegevens vaststelt ‘verantwoordelijke' is in de zin van deze wet. Als deze verantwoordelijke vervolgens persoonsgegevens bij een derde (bijvoorbeeld bij een asp-dienst of SaaS) opslaat dan dient de afnemer van de dienst er op toe te zien dat de derde alle maatregelen heeft genomen om de persoonsgegevens goed te beschermen. De ASP heeft zelf natuurlijk ook een zorgvuldigheidsplicht. "Vaak realiseert men zich niet dat het bedrijf met de verwerking van persoonsgegevens bezig is", zeggen advocaten Louise de Gier en Nicole Makkes van het advocatenkantoor De Gier & Stam Advocaten te Utrecht.

Persoonsgegevens worden door bedrijven vaak buiten de deur opgeslagen. Van alle bedrijven die gebruik maken van internetaccounting neemt 32% de internetaccounting diensten direct af van een ASP-dienstverlener. Boekhoudpakketten en pakketten voor de salarisadministratie werden in 2006 door bedrijven het meeste via internet afgenomen.

Back-upcyclus
Als bij bepaalde data geen persoonsgegevens verwerkt worden, dan kunnen partijen de mate van verantwoordelijkheid (binnen bepaalde redelijkheidsgrenzen) zelf inkleuren. Het is van belang om duidelijk op papier te zetten waarvoor de ASP-dienstverlener verantwoordelijk is.

De Gier en Makkes raden bedrijven aan eerst goed na te gaan of de ASP of SaaS-dienst wel deskundig (genoeg) is en of voldoende (veiligheids)maatregelen zijn genomen. Ook is van belang dat wordt afgesproken dat de dienst regelmatig back-ups maakt en controleert. "Wij komen een back-upcyclus van één keer per dag regelmatig tegen".

Veranderingen in de regelgeving
Het is verstandig om af contractueel te spreken dat de ASP-dienstverlener in de gaten houdt of wijzigingen in regelgeving plaatsvinden en zijn (veiligheids)maatregelen daarop aanpast. Daarnaast kan een boetebeding in het contract opgenomen worden. De Gier en Makkes: "Dat zet meer druk op de ketel."