Partner is subverwerker volgens AVG?

[michaelg27]

Goedemiddag ondernemers,

 

Ik heb wat vragen over een potentiele partnership die ik wil aangaan met een partij uit Oekraine. Ik zal eerst wat (technische) context geven:

 

Ik verleen diensten aan bedrijven op het gebied van Business Intelligence. 

De partij in Oekraine verzorgt data ontsluiting voor verschillende bronnen, waarvan Shopify een is. Zij hebben een plug-in gebouwd, waardoor iemand met een Shopify webshop een URL krijgt die in Power BI aangeroepen kan worden om de data binnen Shopify te benaderen. 

Sommige van mijn klanten willen hun Shopify data gevisualiseerd hebben. Als ze dat door mij willen laten doen, kunnen ze gebruik maken van de plug-in en krijgen ze korting met mijn promocode. De klant zal dan zelf de plug-in installeren op hun webshop en zelf de betalingen verzorgen die nodig zijn voor de plug-in. Ik zal dan gebruik maken van die plug-in om de data te kunnen ophalen waarmee ik visualisaties kan maken in Power BI.

 

Nu is mijn vraag of ik een speciaal contract moet laten opstellen of mijn verwerkersovereenkomst moet aanpassen. Normaliter sluit de partij uit Oekraine geen overeenkomsten met partners. Belangrijk om te vermelden is dat ik geen geld krijg van de partij. Wel zullen zij hun klanten met Power BI gerelateerde problematiek naar mij doorsturen. In mijn algemene voorwaarden/opdrachtovereenkomst geef ik aan dat ik derde partijen mag inschakelen. Zelf denk ik dat ik de partij moet opgeven in mijn verwerkersovereenkomst als subverwerker volgens AVG.

 

Ik hoor graag wat jullie denken.

 

Michael

[Ward van der Put]

Volgens mij ligt de verantwoordelijkheid primair bij de webwinkel als we de feitelijke verwerking van persoonsgegevens volgen:

 

Persoonsgegevens van Nederlandse of Europese consumenten worden

1. in opdracht van een webwinkel in Nederland of de EU

2. verzameld en bewaard door Shopify in Canada

3. daar vandaan via de Power BI Connector in Oekraïne

4. doorgegeven aan een Power BI Server van Microsoft in de Verenigde Staten

5. waarop jij werkt voor de configuratie, data-analyse, presentatie, enzovoort.

 

Het privacyprobleem ligt dan primair bij het feit dat Europese webwinkels persoonsgegevens van Europeanen buiten de EU verzamelen en bewaren. Het is ook de webwinkel die de persoonsgegevens van klanten vervolgens doorgeeft voor verdere verwerking, niet jij. Het is aan de webwinkel om daarvoor verwerkersovereenkomsten te sluiten.

[michaelg27]

2 hours ago, Ward van der Put said:

Volgens mij ligt de verantwoordelijkheid primair bij de webwinkel als we de feitelijke verwerking van persoonsgegevens volgen:

 

Persoonsgegevens van Nederlandse of Europese consumenten worden

1. in opdracht van een webwinkel in Nederland of de EU

2. verzameld en bewaard door Shopify in Canada

3. daar vandaan via de Power BI Connector in Oekraïne

4. doorgegeven aan een Power BI Server van Microsoft in de Verenigde Staten

5. waarop jij werkt voor de configuratie, data-analyse, presentatie, enzovoort.

 

Het privacyprobleem ligt dan primair bij het feit dat Europese webwinkels persoonsgegevens van Europeanen buiten de EU verzamelen en bewaren. Het is ook de webwinkel die de persoonsgegevens van klanten vervolgens doorgeeft voor verdere verwerking, niet jij. Het is aan de webwinkel om daarvoor verwerkersovereenkomsten te sluiten.

 

Tot stap 4 heb je gelijk. In stap 4 haal ik de data mbv Power BI zelf op. Dat betekent dat het Power BI bestand (inclusief webshop data) opgeslagen staat op mijn lokale apparaat. Dat maakt mij dan verwerker. 

 

Om de data op te halen zal ik gebruik willen maken van die speciale connector van de partner uit Oekraïne. Dan maak ik als verwerker gebruik van een derde om de data te verwerken lijkt me en zou hun subverwerker moeten noemen. Wellicht ook belangrijk om even te vermelden. Er wordt geen klantdata verwerkt. Wel zitten adressen in de ordertabellen, maar zijn niet direct herleidbaar naar een persoon. Zou dat ook nog uitmaken voor de AVG?

 

 

[Ward van der Put]

15 uur geleden, michaelg27 zei:

Er wordt geen klantdata verwerkt. Wel zitten adressen in de ordertabellen, maar zijn niet direct herleidbaar naar een persoon. Zou dat ook nog uitmaken voor de AVG?

Jazeker, dat maakt inderdaad uit. Als het geen persoonsgegevens zijn, is de AVG niet van toepassing.

 

Privéadressen zijn echter wél tot één persoon te herleiden (dat is het belangrijkste criterium) wanneer bijvoorbeeld op een adres maar één persoon woont.

 

Het zou beter zijn als gegevens verder geanonimiseerd kunnen worden, bij adressen bijvoorbeeld tot postcodegebieden of provincies. We vormen zelf audiences van klantgegevens en dat is voor ML-toepassingen voldoende.

 

16 uur geleden, michaelg27 zei:

Tot stap 4 heb je gelijk. In stap 4 haal ik de data mbv Power BI zelf op.

Duidelijk, maar dat zou ik uit juridische zelfbescherming toch anders formuleren. 

 

De webwinkel betaalt en activeert de Power BI Connector in Shopify. Je kunt stellen dat de webwinkel daarmee een tweeledige opdracht geeft aan de Canadezen om de persoonsgegevens door te geven en aan de Oekraïners om de persoonsgegevens aansluitend verder te verwerken. In deze fase kom jij er nog niet aan te pas: het werkt ook zonder jou en, nog belangrijker, er kan ook buiten jouw schuld van alles fout gaan.

 

Daarom zou ik concluderen dat het aan de webwinkel is om hiervoor verwerkersovereenkomsten te sluiten met de Canadezen en de Oekraïners.