-

Richtlijnen om cloud computing onder controle te houden

De ontwikkeling van cloud computing is niet meer te stoppen en biedt grote efficiëntievoordelen op het gebied van databeheer. Ook u wilt van deze voordelen genieten, maar u wilt dat wel verantwoord doen. Dit artikel biedt houvast op uw weg naar de cloud.

Tijdens een eerste verkenning van de weg naar de cloud wordt u geconfronteerd met vragen als:

  • Waar is mijn data fysiek?
  • Wie hebben toegang tot mijn gegevens?
  • Hoe controleert u dat?
  • Hoe vergewist u zich ervan dat uw cloud serviceprovider uw gegevens conform uw vereisten verwerkt?
  • Hoe krijgt u uw data terug bij beëindiging van de overeenkomst?

De perceptie bestaat dat cloud computing onveilig zou zijn. Dit is onterecht. Hoewel het klopt dat u een stukje controle uithanden geeft, zijn de risico’s te overzien en overigens beheersbaar. Om de risco’s goed in te kunnen schatten, is het belangrijk om deze middels een risicoanalyse inzichtelijk te maken. Vervolgens is het zaak de risico’s te managen. Heldere afspraken zorgen er tenslotte voor dat u en uw cloud provider precies weten wat ze van elkaar mogen verwachten.

De volgende onderwerpen komen in dit artikel aan bod:

  1. Wat is cloud computing?
  2. Welke regels zijn hierop van toepassing?
  3. Voor wie zijn deze regels van belang?
  4. Aan welke voorwaarden moet ik minimaal voldoen?

1. Wat is cloud computing?
Van cloud computing circuleren vele definities, maar voor dit artikel wordt cloud computing gedefinieerd als een on-demand servicemodel voor de levering van IT-diensten, veelal gebaseerd op virtualisatietechnieken en gedistribueerde computeromgevingen.

Cloudtechnologie kan gebruikt worden om de eigen IT schaalbaar en meer elastisch te maken. De gehanteerde technologie maakt het echter ook mogelijk om IT-diensten (bijvoorbeeld opslag, applicaties, e-mail) in gestandaardiseerd formaat en on-demand af te nemen van daartoe gespecialiseerde serviceproviders. Hierbij wordt gebruik gemaakt van een gedeelde technische infrastructuur. Door de gebruikte internettechnieken kunnen uw data en applicaties feitelijk overal ter wereld zijn en vandaan komen.

2. Toepasselijke regelgeving 
De Algemene Privacyrichtlijn* wordt wel gezien als de basistekst omtrent privacy en databescherming binnen de Europese Unie. Deze richtlijn verplicht de lidstaten de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens te waarborgen, door leidende beginselen op te stellen ter bepaling van de rechtmatigheid van die verwerking. Met de Wet bescherming persoonsgegevens (Wbp) voldoet Nederland aan deze verplichting.

3. Voor wie zijn de regels van belang?
De regels zijn van belang voor ieder bedrijf of instelling die (onderdelen van) de bedrijfsvoering via de cloud verwerkt. Van zorginstellingen tot financiële instellingen, van onderwijsinstellingen tot producenten.

4. The fantastic 4 (de uit de Wbp voortvloeiende verplichtingen)
4.1 Schriftelijke overeenkomst (artikel 14 Wbp)
U bent verplicht om met de cloud provider een schriftelijke overeenkomst te sluiten met betrekking tot de bescherming van persoonsgegevens. De Wbp stelt eisen aan de vorm en inhoud van de afspraken die u met de cloud provider maakt.

4.2 Verwerken in opdracht (artikel 12 en 14 Wbp)
De cloud provider mag de door u verzamelde persoonsgegevens slechts in uw uitdrukkelijke opdracht verwerken. Persoonsgegevens mogen bovendien alleen worden verwerkt voor zover dat noodzakelijk is om de clouddiensten te leveren. De cloud provider mag persoonsgegevens dus niet voor eigen doeleinden gebruiken, zoals het rechtstreeks benaderen van uw klanten voor directmarketingdoeleinden.

4.3 Verwerking in overeenstemming Wbp
De cloud provider moet de persoonsgegevens verwerken in overeenstemming met de Wbp. U bent echter vaak (mede-)aansprakelijk voor schendingen ervan door de cloud provider. Indien naleving van de Wbp als een contractuele verplichting is opgenomen, is het eenvoudiger om de cloud provider op schendingen aan te spreken en indien gewenst het cloud contract te beëindigen en schadevergoeding te eisen.

4.4. Groepsmaatschappijen en onderaannemers (artikel 12, 13 en 14 Wbp)
De cloud provider mag bij het verwerken van de persoonsgegevens alleen groepsmaatschappijen en onderaannemers inschakelen met wie hij een schriftelijke overeenkomst heeft gesloten waarin geheimhoudings- en beveiligingsverplichtingen zijn opgenomen. Bovendien moeten ook zij hun werkzaamheden en diensten in overeenstemming met de Wbp uitvoeren.

4.5 Omschrijven beveiligingsmaatregelen
De cloud provider is verplicht de persoonsgegevens adequaat te beveiligen. Het gaat hierbij zowel over beveiliging tegen dataverlies als om bescherming van de toegang tot persoonlijke gegevens door onbevoegden.

Een in de cloudovereenkomst opgenomen algemene verplichting van de cloud provider om de persoonsgegevens adequaat te beveiligen, is niet voldoende. De beveiligingsmaatregelen met betrekking tot de door u verzamelde persoonsgegevens moeten expliciet worden omschreven in het cloudcontract. Bij beveiligingsmaatregelen kan worden gedacht aan wachtwoorden, firewalls, encryptie van gegevens en een omschrijving van het gehanteerde beveiligingsbeleid.

4.6 Controleren beveiliging (artikel 14 Wbp)
De cloud provider moet u in staat stellen om erop toe te zien dat hij zijn verplichting tot adequate beveiliging nakomt. Een bezwaar van de cloud provider tegen een door u uit te voeren audit is niet acceptabel.

4.7. Informeren over beveiligingsincidenten
De cloudleverancier moet de afnemer onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact daarvan op de verwerking van persoonsgegevens. In geval van een beveiligingsincident (bijvoorbeeld een datalek) wilt u kunnen beoordelen wat de gevolgen daarvan zijn en welke maatregelen kunnen worden getroffen om deze gevolgen te beperken (bijvoorbeeld informeren van klanten).

4.8. Geen toegang derden (artikel 8, 9, 12, 13 en 14 Wbp)
Zonder uw toestemming mag de cloud provider derden geen toegang geven tot de persoonsgegevens. De cloud provider (en degenen die onder zijn gezag handelen, zoals bijvoorbeeld personeel) is in beginsel verplicht om persoonsgegevens geheim te houden. Er zijn uitzonderingen, zoals in het geval van rechtmatige inzageverzoeken van bevoegde autoriteiten.

4.9. Persoonsgegevens niet langer bewaren dan noodzakelijk (artikel 10 Wbp)
De cloud provider mag de persoonsgegevens niet langer bewaren dan noodzakelijk om de clouddiensten aan u te leveren. U moet er als verantwoordelijke op toezien en ervoor zorgdragen dat de cloud provider persoonsgegevens niet langer bewaart dan strikt noodzakelijk. Een bepaling die regelt dat de cloud provider de gegevens na beëindiging van de overeenkomst vernietigt, kan daarin voorzien.

4.10 Data ook weer uit de cloud (artikel 10 Wbp)
De cloudleverancier moet ervoor zorgen dat u de door u aangeleverde persoonsgegevens bij het einde van de overeenkomst ook weer uit de cloud kunt halen. Vervolgens moeten de persoonsgegevens direct uit de systemen van de cloud provider worden verwijderd.

4.11. Verwerking alleen binnen Europese Unie of landen met passend beschermingsniveau (artikel 76 Wbp)
De cloud provider mag de persoonsgegevens alleen verwerken in de Europese Unie of een land met passend beschermingsniveau. Alle landen van de Europese Unie hebben een hoog niveau van privacybescherming. Daarnaast heeft de Europese Commissie een aantal landen aangewezen die een passend beschermingsniveau bieden (de zogenaamde ‘witte lijst’). Amerika is daar in pricipe niet een van. Voor Amerikaanse bedrijven met een safe harbour certificatie geldt dat zij wel een passend beschermingsniveau bieden.

4.12 Verplichtingen in geval van onderzoek autoriteiten
Indien de cloud provider door een autoriteit wordt verzocht om persoonsgegevens van uw bedrijf te verstrekken, dan moet hij:

  • u onmiddellijk informeren
  • u in staat stellen om zijn rechten te verdedigen
  • alle medewerking verlenen om de toegang zo beperkt mogelijk te houden

Bij cloud computing zullen niet alle persoonsgegevens meer op uw bedrijfslocatie worden verwerkt. U dient dan ook door de cloud provider geïnformeerd te worden over eventuele verzoeken van autoriteiten, zodat u daar adequaat op kunt reageren.

4.13. Meewerken aan inzageverzoeken (artikel 35 en 36 Wbp)
De cloud provider moet meewerken aan verzoeken van betrokkenen (zoals klanten) om inzage en correctie van hun persoonsgegevens. De betrokkenen hebben recht op inzage en correctie van hun persoonsgegevens. De cloud provider moet aan een dergelijk verzoek, dat meestal bij u binnenkomt, zijn medewerking verlenen.

4.14. Faillissement cloud provider
Het is noodzakelijk om goede afspraken te maken voor het geval de cloud provider failliet dreigt te gaan. U zult in het zicht van een faillissement van de cloud provider in staat moeten worden gesteld het beheer van uw gegevens naar een andere cloud provider te kunnen overhevelen.

 

* Richtlijn 95/46/EG van het Europees Parlement en  de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

Dit artikel is geen juridisch advies.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond