Juridische en privacy aspecten - Overcloudcomputing.nl

Juridische en privacy aspecten

Cloud computing is geen zelfstandige nieuwe technologie, maar eerder een ‘service delivery framework’: een nieuwe manier om technologie zoals software en platformen aan te bieden aan gebruikers. Deze manier van dienstverlening heeft belangrijke voordelen, zoals flexibiliteit, bereikbaarheid en kostenefficiëntie. Maar er zijn ook belangrijke juridische aandachtspunten. Drie daarvan zijn: (a) privacy en beveiliging, (b) continuïteit van dienstverlening en (c) het mogelijke faillissement van de cloudprovider.

Privacy-aspecten en beveiliging

De Wet bescherming persoonsgegevens (Wbp) is van toepassing op de verwerking van persoonsgegevens in de cloud. Dit betekent dat de afnemer en de cloudprovider aan alle verplichtingen op grond van de Wbp moeten voldoen. De afnemer is de ‘verantwoordelijke’ in de zin van de wet; de cloudprovider is meestal de ‘bewerker’. Zij moeten een bewerkerovereenkomst sluiten(in het cloudcontract of apart)die is toegesneden op de concrete omstandigheden. Bij cloud computing moet in ieder geval rekening worden gehouden met (i) het risico van (onvoldoende) beveiliging van persoonsgegevens; (ii) ‘grip’ op de plaats van verwerking van gegevens; en (iii) het risico van datalekken.

Beveiliging
De in artikel 13 Wbp genoemde ‘passende’ maatregelen voor beveiliging zijn nader ingevuld in het rapport ‘CBP Beveiliging van persoonsgegevens’. Er moet rekening worden gehouden met het risico, de stand van de techniek en de kosten van tenuitvoerlegging. Concreet moet de cloudprovider een risicoanalyse uitvoeren en een risicoklasse toekennen aan de verwerking. Daarbij is onder meer van belang of de gegevens op servers bij derden zijn opgeslagen, en hoe groot het risico is van datalekken (op alle locaties waar de gegevens zich bevinden).
“Grip’
In veel gevallen weet de afnemer niet waar de data worden opgeslagen, zeker wanneer er wordt gewerkt met subbewerkers (hosting) in verschillende landen. In termen van de Wbp is hier sprake van een ‘doorgifte van persoonsgegevens’ die moet voldoen aan de vereisten van de Wbp: doorgifte mag alleen plaatsvinden naar landen met een passend beschermingsniveau. De afnemer is verantwoordelijk voor de naleving van deze regels. Hoe kan de afnemer ervoor zorgen dat de cloudprovider zich houdt aan deze regels?
Optie 1: De diensten beperken tot een ‘EER cloud’, waarbij de gegevens niet buiten de Europese Economische Ruimte worden gebracht. In dat geval heeft de afnemer niet met de problematiek van doorgifte te maken. Wel zijn mogelijk de verplichtingen op grond van de Amerikaanse Patriot Act van toepassing.
Optie 2: Bij een ‘global cloud’ zijn er de volgende mogelijkheden:
A. doorgifte met toestemming van gebruikers
De toestemming moet specifiek voor de doorgifte worden gegeven. Dit maakt toestemming in het algemeen geen werkbare of praktische optie;

B. een cloudprovider met een safe harbor status in de VS
Dit werkt enkel voor de doorgifte naar de cloudprovider in de VS; de verdere doorgifte naar subbewerkers blijft een probleem;

C. het toepassen van modelcontracten.
De vergunningplicht is hiervoor afgeschaft, maar het nadeel is dat een web van contracten vereist is bij subbewerkers (zelfs met nieuwe EC modelclausules voor datatransfer die tot op zekere hoogte ruimte laten voor doorgifte aan een subbewerker);

D. Binding Corporate Rules voor bewerkers
Deze maken doorgifte tussen bewerkers wereldwijd mogelijk. Er is echter nog geen model beschikbaar, en voor zover bekend heeft het CBP nog geen set goedgekeurd. Wel zijn er aanvragen bij het CBP in behandeling.

Datalekken
In de bewerkerovereenkomst moet ook iets worden geregeld voor datalekken. De vraag is niet of, maar wanneer je te maken krijgt met een datalek. Hoewel de wettelijke verplichtingen op dit moment alleen gelden voor aanbieders van openbare telecomnetwerken en/of- diensten, is een algemene meldplicht voor datalekken in aantocht. De verplichtingen die hieruit voortvloeien rusten op de verantwoordelijke, maar die zal hiervoor afhankelijk zijn van de cloudprovider.

Dit is een bijdrage van Kennedy Van der Laan, kennispartner van het ICT informatiecentrum.
Kennedy Van der Laan | Haarlemmerweg 333 | 1051 LH Amsterdam
T +31 20 5506 666 | info@kvdl.nl | kvdl.nl/