De software-industrie staat nooit stil en dat maakt het een prachtig vakgebied. De grootste ontwikkeling van de laatste (en komende) jaren is zonder twijfel de transitie naar de cloud. Dat is een grote verandering, niet alleen in de technologie maar ook in de rol die de softwareleverancier speelt in het informatiemanagement. Tegelijkertijd is ons vakgebied in de ban van de AVG en speelt de vraag: welke rol je als leverancier speelt voor gegevensbescherming.
Ik heb een grote passie voor zowel recht als ICT, en kan deze werkgebieden mooi combineren in mijn werk als jurist bij Decos en mijn blog. Vanuit deze inhoud praat ik mee met de Vereniging Nederlandse Gemeenten (VNG) die allerlei richtlijnen uitdenkt over privacy. Daarnaast krijgen wij regelmatig vragen over de rol van de leverancier: wie is nu precies waar verantwoordelijk voor?
Is een On Premise-leverancier een verwerker?
De meeste gemeenten werken nog on-premise, dus draaien met hun eigen ICT infrastructuur en slaan deze data zelf op. De gemeente is zelf verantwoordelijk voor opslag, beheer en beveiliging van gegevens. En dus ook voor persoonsgegevens. Wij moeten als softwareleverancier het gereedschap leveren en ervoor zorgen dat de gemeente dit beheer goed kan uitvoeren en bewaken. Wij leveren software en geen dienst voor het gegevensbeheer. VNG gaat een nieuwe factsheet uitbrengen naar aanleiding van de discussie waar Decos bij heeft mee gediscussieerd. Lees hier de uitkomsten van het debat in versie 1.1. Een debat met softwareleveranciers en gemeenten!
‘’Natuurlijk komen onze consultants in contact met gegevens van de gemeente.
Maar maakt dat ons een verwerker bij on-premise?’’
De verwerker bij Cloud
Dat wordt allemaal anders als we naar de cloud gaan. Dan leveren wij niet alleen de software, maar dan beheren wij ook de gegevens van de klant. Wij slaan die gegevens op, wij beveiligen die gegevens en wij zijn ook verantwoordelijk voor de uiteindelijke verwijdering. Wij leveren dan dus ook een dienst: software as a service. Onder de AVG is die dienst het verwerken van persoonsgegevens namens de gemeente. Dat maakt ons de verwerker. Gegevens van cloudklanten, waaronder gemeenten, slaan we op in Azure. Daarbij zijn wij wel de verwerker van gegevens, de klant betaalt ons om data op te slaan. Dit is dan expliciet onze taak.
Steeds meer gemeenten naar de Cloud
Bij de aanschaf van JOIN wordt er steeds vaker gekozen voor werken in de cloud. Onze verantwoordelijkheid voor het omgaan met persoonsgegevens zal dus steeds groter worden. We beheren steeds meer data omdat we meer cloudklanten krijgen. Decos is marktleider in zaaksystemen en klantcontacten. Wij vinden dit ontzettend belangrijk en investeren in deze kennis. En daarom hebben we meerdere privacy specialisten binnen het bedrijf. Als softwareleverancier staan we nog aan de zijlijn maar krijgen we dus steeds een grotere rol en kunnen we daadwerkelijk onze klant hierin adviseren. Onze primaire taak is het ontwikkelen en onderhouden van software. En onze secundaire taak is blijven werken aan gegevensbescherming en deze verantwoordelijkheden blijven nemen. Voor de softwareleveranciers van tegenwoordig en de toekomst verandert er dus nogal wat. Door het naar de Cloud gaan vindt er een verschuiving plaats van productenleverancier naar een dienstenleverancier.
Wil je meer weten over privacy-wetgeving in Nederland? Je leest er meer over op mijn blog.