We hebben allemaal wel eens een phishingmail van een hacker ontvangen. Je hebt bijvoorbeeld ineens $5 miljoen geërfd van je rijke achteroom in Afrika, ook al wist jij niks van zijn bestaan af. Of je dan alleen nog even je bank- en andere persoonsgegevens wil invullen, zodat de notaris kan verifiëren dat jij het echt bent en hij weet op welk rekeningnummer het geld gestort kan worden. Een hacker met kwade bedoelingen. Maar er zijn ook hackers die geen kwaad in de zin hebben.
Een ethisch hacker, ook wel pentester genoemd, hackt om kwetsbaarheden in systemen te identificeren met als doel het systeem beter te beveiligen. In het geval van een dergelijke pentest bestaat de kans dat de pentester persoonsgegevens inziet, downloadt of vernietigt. Met andere woorden, de hacker begeeft zich op het gebied van privacywetgeving.[1] Nu gaat de samenkomst van deze twee werelden (privacy-jurist en pentester) gepaard met vragen of onduidelijkheden. Eén van deze vragen is of de pentester persoonsgegevens verwerkt en daardoor eventueel een verwerker is in de zin van de AVG. De vervolgvraag is of er ook een verwerkersovereenkomst opgesteld dient te worden.
Om deze vragen te kunnen beantwoorden, begint de blog met het uitleggen van wat een verwerker is volgens de AVG. Daarna beoordelen we wanneer een pentester aan te merken is als verwerker. Tot slot zal de mogelijkheid tot het sluiten van een verwerkersovereenkomst worden besproken. Dat is van belang omdat er – ongeacht de kwalificatie van pentester als verwerker, of niet – duidelijke afspraken over mogelijke verwerkingen van persoonsgegevens gemaakt moeten worden.
Verwerker
Zoals kort beschreven in de inleiding, is het mogelijk dat de pentester tijdens de pentest gegevens kan inzien, downloaden of anderszins verwerken. Aan de hand van art. 4 lid 8 AVG kan bepaald worden of de pentester als verwerker is aan te merken. Art. 4 lid 8 AVG stelt dat een verwerker een natuurlijk persoon of organisatie is die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Het ‘ten behoeve van’ verwerken van persoonsgegevens houdt in dat de verwerking de primaire opdracht moet zijn tussen opdrachtgever en opdrachtnemer. Met andere woorden, hetgeen wat de opdrachtnemer verleent moet gericht zijn op het verwerken van persoonsgegevens namens de opdrachtgever. Wanneer het verwerken van persoonsgegevens een nevenactiviteit is van een andere vorm van dienstverlening, is geen sprake van een verwerker in de zin van de AVG.[2] Kortom, de opdracht die de opdrachtnemer krijgt moet gericht zijn op het verwerken van persoonsgegevens.
Echter, de European Data Protection Board (EDPB) merkt op dat in het geval de verwerking van persoonsgegevens niet het voornaamste doel is van de dienst, de dienstverlener (in dit geval de pentester) alsnog als verwerker kan optreden. Hiervoor moet de klant (of opdrachtgever) van de dienstverlener wel het doel en middelen van de verwerking bepalen.
De vraag die de verwerkingsverantwoordelijke zich hierbij moet stellen is of de dienstverlener hem of haar in staat stelt een voldoende mate van zeggenschap uit te oefenen, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking [3].
Vanzelfsprekend verschilt het antwoord op deze vraag per situatie. De EDPB geeft in de Richtsnoeren over de begrippen verwerker en verwerkingsverantwoordelijke enkele voorbeelden ter verduidelijking [4]. In het eerste voorbeeld huurt een onderneming een IT-specialist in om een bug te verwijderen uit software [5]. De specialist wordt niet ingehuurd voor de verwerking van (enkele) persoonsgegevens. Daarnaast zal toegang tot persoonsgegevens enkel bijkomstig en beperkt zijn. De onderneming mag concluderen dat de IT-specialist in dit geval geen verwerker is, maar de onderneming moet wel passende maatregelen treffen om onrechtmatige verwerking van persoonsgegevens (door de IT-specialist) te voorkomen.
In het tweede voorbeeld huurt een onderneming een IT-dienstverlener in om algemene ondersteuning te verstrekken aan IT-systemen die aanzienlijke hoeveelheden persoonsgegevens omvatten [6]. Bij de dienstverlening is het onvermijdelijk dat de IT-dienstverlener toegang heeft tot persoonsgegevens. Vanwege het algemene karakter van de ondersteuning kan de eventuele verwerking van persoonsgegevens op veel manieren plaatsvinden. Denk aan het kopiëren, downloaden, inzien, maar ook het verplaatsen of veranderen van persoonsgegevens. De onderneming mag in dit geval concluderen dat de IT-dienstverlener als verwerker moet worden beschouwd, ongeacht dat het hoofddoel van de dienstverlening niet het verwerken van persoonsgegevens is [7].
In het kort komen de voorbeelden hierop neer: de uiteindelijke opdracht en hoe deze in de praktijk wordt uitgevoerd, is bepalend bij de beoordeling of sprake is van een verwerkingsverantwoordelijke verwerkersrelatie. Indien een opdracht onvermijdelijk en structureel leidt tot een verwerking van persoonsgegevens, dan kan geconcludeerd worden dat die opdracht tevens een opdracht tot die verwerking omvat en dus een verwerkingsverantwoordelijke verwerkersrelatie ontstaat.
Is de pentester een verwerker?
Voor het antwoord op de vraag of een pentester verwerker is, moet er een belangrijk onderscheid gemaakt worden tussen twee soorten pentesten. De eerste variant vindt plaats zonder dat de eigenaar van het systeem er opdracht toe heeft gegeven. In dat geval kan geen sprake zijn van een verwerker, aangezien in die situatie simpelweg geen opdracht is gegeven. Beargumenteerd kan worden dat deze pentester een verwerkingsverantwoordelijke is, omdat de pentester zelf het doel en middelen vaststelt [8]. Voor de rest van het artikel is dit niet relevant en wordt er derhalve niet verder op ingegaan.
De tweede variant gebeurt op basis van een opdracht, waarbij de opdrachtgever toestemming geeft aan de pentester (opdrachtnemer) om het systeem te infiltreren. Hierbij moet beoordeeld worden of de opdracht primair ziet op het verwerken van persoonsgegevens. Bij een opdracht tot uitvoering van een pentest kan dat het geval zijn. Bijvoorbeeld wanneer de pentest ziet op het bemachtigen van datasets met persoonsgegevens. De opdracht gaat nu primair over het verwerken van persoonsgegevens namens de opdrachtgever en dat maakt de pentester een verwerker. In een aantal situaties kan er ook geen sprake zijn van een primaire opdracht tot het verwerken van persoonsgegevens tijdens een pentest. Hier kan gedacht worden aan een pentest waarbij enkel potentiële kwetsbaarheden in een systeem worden ontdekt. In die situatie wordt geen opdracht gegeven tot het verwerken van persoonsgegevens. Er wordt enkel primair opdracht gegeven tot het ontdekken van kwetsbaarheden. Is hier dan geen sprake van een verwerker?
Toch kan het zo zijn dat in het geval de verwerking niet het primaire doel is van de opdracht, alsnog sprake kan zijn van een verwerker. Zoals eerder is uitgelegd hangt dat af van hoe de pentest in de praktijk tot uiting komt. Als het onvermijdelijk is dat persoonsgegevens tijdens de pentest verwerkt gaan worden, dan is de opdracht tot uitvoering van de pentest ook een opdracht tot het verwerken van die persoonsgegevens. In dat geval is sprake van een verwerker. Andersom geldt dat wanneer het onzeker is of persoonsgegevens verwerkt gaan worden en de verwerkingen beperkt blijven, de opdracht tot het doen van de pentest niet ook de eventuele verwerkingen van persoonsgegevens omvat. Hier is dan geen sprake van een verwerker [9].
Geen verwerker, toch binden door middel van verwerkersovereenkomst?
Ondanks dat er geen sprake is van een verwerker, is het denkbaar dat de opdrachtgever toch afspraken wil maken met de pentester over de voorwaarden bij een eventuele verwerking van persoonsgegevens. De Saksische DPA schiet hierbij te hulp en adviseert om de opdrachtnemer (pentester) van tevoren te binden middels een verwerkersovereenkomst die verwijst naar de hoofdovereenkomst [10]. In het geval de pentester dan inderdaad persoonsgegevens gaat verwerken, is er in ieder geval een verwerkersovereenkomst. Geen gek idee, maar is dit zowel praktisch als juridisch gezien wel realistisch?
Uit art. 28 AVG volgen een aantal vereisten waar een verwerkersovereenkomst aan moet voldoen. Zo moet er onder andere in staan welke persoonsgegevens verwerkt gaan worden en hoe. Echter, in het geval van een pentest is het onduidelijk of en welke verwerkingen van persoonsgegevens gaan plaatsvinden. Vanwege deze onduidelijkheid is het onmogelijk om te voldoen aan “een overeenkomst waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.” [11]
Je zou het onderwerp van de verwerking en het soort persoonsgegevens zo breed kunnen omschrijven, dat alle eventuele verwerkingen van de pentester er onder kunnen vallen. Maar ten eerste is dit enorm veel werk en ten tweede bepaalt de opdrachtgever hiermee dat de pentester alle gegevens zou mogen verwerken. Dat lijkt ons niet helemaal de bedoeling te zijn van een verwerkersovereenkomst. Kortom, in het geval geen sprake is van een pentester die als verwerker geldt, is alsnog een verwerkersovereenkomst afsluiten niet de oplossing.
Wat is dan wel de oplossing? Voor pentesten zijn vooral afspraken over geheimhouding, vernietiging, logging en toestemming van belang. Deze aspecten kunnen ook geregeld worden in de hoofdovereenkomst die de opdracht tot uitvoering van een pentest inhoudt. Belangrijk om hierbij te vermelden is dat dit alleen het geval is indien geen sprake is van een pentester als verwerker. Wanneer de pentester wel een verwerker is, dan hoort er een verwerkersovereenkomst overeenkomstig art. 28 AVG opgesteld te worden.
Meer weten over de samenkomst van de verschillende werelden van een (ethisch) hacker en privacy-jurist waar beiden elkaar het hemd van het lijf vragen? Luister dan hier naar de podcast PrivacyHack! Waar onderwerpen als simswapping, ChatGP, (informatie)beveiliging, kunstmatige intelligentie en hackers in het algemeen grondig worden besproken.
[1] Het downloaden, veranderen of kopiëren van persoonsgegevens zijn verwerkingen in de zin van de Algemene Verordening Gegevensbescherming. Meer specifiek, art. 4 lid 2 AVG.
[2] Handleiding Algemene Verordening Gegevensbescherming Autoriteit Persoonsgegevens.
[3] Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, versie 2.0, vastgesteld op 7 juli 2021.
[4] Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, versie 2.0, vastgesteld op 7 juli 2021.
[6] Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, versie 2.0, vastgesteld op 7 juli 2021, p. 32.
[7] Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, versie 2.0, vastgesteld op 7 juli 2021. [1] Art. 4 lid 7 Algemene Verordening Gegevensbescherming.
[8] Art. 4 lid 7 Algemene Verordening Gegevensbescherming.
[9] Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, Versie 2.0, Vastgesteld op 7 juli 2021.
[10] Jaarverslag over 2017 & 2018, https://www.datenschutz.sachsen.de/. [1] Artikel 28 lid 3 Algemene Verordening Gegevensbescherming.
[11] Artikel 28 lid 3 Algemene Verordening Gegevensbescherming.