Een afnemer van een Software-as-a-Service- of een asp-dienst moet er zelf op toezien dat de aanbieder technische en organisatorische maatregelen neemt tegen verlies of onrechtmatige verwerking van de persoonsgegevens. Klakkeloos een ASP- of SaaS-aanbieder uitkiezen is niet aan te bevelen.
Bedrijven die persoonsgevens buiten de deur opslaan, dragen daar verantwoordelijkheid voor. In de Wet Bescherming Persoonsgegevens (WBP) staat, kort gezegd, dat diegene die het doel en de middelen van de verwerking van de persoonsgegevens vaststelt ‘verantwoordelijke’ is in de zin van deze wet. Als deze verantwoordelijke vervolgens persoonsgegevens bij een derde (bijvoorbeeld bij een asp-dienst of SaaS) opslaat dan dient de afnemer van de dienst er op toe te zien dat de derde alle maatregelen heeft genomen om de persoonsgegevens goed te beschermen. De ASP heeft zelf natuurlijk ook een zorgvuldigheidsplicht. "Vaak realiseert men zich niet dat het bedrijf met de verwerking van persoonsgegevens bezig is", zeggen advocaten Louise de Gier en Nicole Makkes van het advocatenkantoor De Gier & Stam Advocaten te Utrecht.
Persoonsgegevens worden door bedrijven vaak buiten de deur opgeslagen. Van alle bedrijven die gebruik maken van internetaccounting neemt 32% de internetaccounting diensten direct af van een ASP-dienstverlener. Boekhoudpakketten en pakketten voor de salarisadministratie werden in 2006 door bedrijven het meeste via internet afgenomen.
Back-upcyclus
Als bij bepaalde data geen persoonsgegevens verwerkt worden, dan kunnen partijen de mate van verantwoordelijkheid (binnen bepaalde redelijkheidsgrenzen) zelf inkleuren. Het is van belang om duidelijk op papier te zetten waarvoor de ASP-dienstverlener verantwoordelijk is.
De Gier en Makkes raden bedrijven aan eerst goed na te gaan of de ASP of SaaS-dienst wel deskundig (genoeg) is en of voldoende (veiligheids)maatregelen zijn genomen. Ook is van belang dat wordt afgesproken dat de dienst regelmatig back-ups maakt en controleert. "Wij komen een back-upcyclus van één keer per dag regelmatig tegen".
Veranderingen in de regelgeving
Het is verstandig om af contractueel te spreken dat de ASP-dienstverlener in de gaten houdt of wijzigingen in regelgeving plaatsvinden en zijn (veiligheids)maatregelen daarop aanpast. Daarnaast kan een boetebeding in het contract opgenomen worden. De Gier en Makkes: "Dat zet meer druk op de ketel."
Hoewel het in principe juist is wat in dit artikel gemeld wordt, is dit een sterk eenzijdige juridische theoretische benadering van deze problematiek. Ik ben geen voorbeeld van een ASP-dienst op de markt tegengekomen die veilig is op de manier zoals dit in de WBP geregeld moet zijn. En dit zal mijns inziens in de nabije toekomst ook zo blijven. Het is volgens mij raadzaam om als consument hierop te anticiperen. Als consument heb je de (wettelijke) vrijheid van kanaalkeuze. Je kunt dus zelf kiezen of je privacy-gevoelige informatie via de communicatiekanalen telefoon, internet, reguliere post of persoonlijk op papier met een derde uitwisselt. Als je bijvoorbeeld je belastingaangifte op papier doet, je deze aangifte persoonlijk overhandigt bij de belastingdienst en gegevens uit de belastingaangifte komen op straat te liggen, dan is het wettelijk gezien zeer aannemelijk dat het de belastingdienst is, die hiervoor verantwoordelijk is, onafhankelijk van het feit of de belastingdienst zijn ict-activiteiten heeft uitbesteedt of niet. De belastingdienst is daarmee ook juridisch aansprakelijk. Hetzelfde geldt bijvoorbeeld voor medische gegevens welke door artsen in elektronische dossiers worden opgeslagen en uitgewisseld.