Cloud computing is hip, en niet voor niks: wie ‘in the cloud’ gaat, bespaart kosten, krijgt ruimte voor opschaling van zijn organisatie (en zijn ICT-systemen) en bovendien: het is een stuk veiliger…toch?
De datacenters waar de cloud servers draaien worden veelal sterk beveiligd. Hackers en virussen zullen minder gemakkelijk binnendringen en de kans op diefstal is kleiner. Toch zijn er een aantal juridische aspecten die ervoor zorgen dat de keuze voor een cloudserver niet direct voldoende is om als organisatie ‘privacy compliant’ te zijn.
Ontstaan van de cloud
Eind jaren ’90 – met de komst van het internet – kwamen de externe servers in opkomst. Steeds meer bedrijven deden afstand van een eigen server (in bijvoorbeeld een kast). Technische ontwikkelingen zoals virtualisatie zorgden er in de jaren daarna voor dat de externe servers door meerdere partijen gedeeld konden worden. Daarmee ontstond het idee om gedeelde servers als dienst aan te gaan bieden.
Cloud computing gaat nog een stap verder. Clouddienst aanbieders bieden een netwerk van allerlei gedeelde servers aan (‘the cloud’). Alle servers die onderdeel uitmaken van dat netwerk zijn gedeeld (gedeelde server). Vaak bevinden de servers zich ook op verschillende locaties. Het kan dus zijn dat de servers zich eenzelfde gebouw bevinden, maar het zou ook kunnen dat deze zich in een ander land of zelfs op een ander continent bevinden. De eindgebruiker (dat bent u) weet vaak niet op hoeveel of welke servers zijn software draait en waar de servers zich bevinden. Dat biedt een aantal voordelen, maar het brengt tegelijkertijd ook een aantal risico’s met zich mee. Het is van belang dat u zich daarvan bewust bent.
Soorten cloud
Er wordt vaak een onderscheid gemaakt tussen de public cloud en de private cloud. De public cloud slaat data verspreid over verschillende datacenters op (dit is eigenlijk de enige échte cloud). Een private cloud heeft (meestal) betrekking op het hebben dan een eigen datacentrum bij de leverancier van clouddiensten. Dit is ongeveer gelijk aan de ‘ouderwetse’ externe server. Dit onderscheid is van belang om uw compliance risico’s in te schatten.
‘Het geheim van de server’
Het grote voordeel van cloud computing is dat u niet hoeft te weten waar de gegevens precies staan en u zich er dus ook geen zorgen over hoeft te maken. Dat wordt namelijk allemaal geregeld door uw leverancier van clouddiensten.
Wanneer de opgeslagen data persoonsgegevens bevat, zal de eindgebruiker op basis van Europese (privacy)wetgeving echter wél moeten weten waar zijn data zich precies bevindt, u bent namelijk nog steeds verantwoordelijk (in de woorden van de wet) voor de bescherming van de persoonsgegevens tegen verlies of onrechtmatige verwerking. Neemt u het volgende in acht wanneer uw organisatie gebruik maakt (of gaat maken) van een clouddienst.
Als uw organisatie persoonsgegevens verwerkt via de software die in the cloud staat, dan is de leverancier van clouddiensten een ‘bewerker’ van de persoonsgegevens. Dit betekent dat u – op grond van de Nederlandse en Europese regelgeving – met de leverancier van clouddiensten een bewerkersovereenkomst dient te sluiten. Het sluiten van een dergelijke overeenkomst is uw verantwoordelijkheid, aangezien u als verantwoordelijke van de persoonsgegevens wordt aangemerkt. Met een standaard bewerkersovereenkomst van internet komt u tegenwoordig helaas niet meer weg. Het CBP hecht er grote waarde aan dat gedetailleerde ‘instructies’ aan de bewerker worden gegeven ten aanzien van (o.a.) beveiliging en geheimhouding.
Vaak worden er door leverancier van clouddiensten servers gebruikt die niet in Nederland staan. Als dergelijke servers buiten de Europese Unie staan, is sprake van ‘doorgifte naar het buitenland’. In dat geval gelden strengere eisen ten aanzien van (onder meer) de beveiliging en informatieverplichtingen.
Om de juiste ‘organisatorische en technische maatregelen’ te treffen (een andere verplichting die volgt uit de privacy wetgeving) zult u moeten achterhalen waar de servers staan waarop uw data zich bevindt. Indien de locatie van de server in een land staat dat (volgens de EU) geen ‘passend beveiligingsniveau’ biedt, dan is het vaak niet toegestaan om gebruik te maken van deze servers.
Wanneer de persoonsgegevens via een in de EU gelegen server ter beschikking worden gesteld aan een helpdesk in India is er óók sprake van doorgifte naar het buitenland.
U bent er als verantwoordelijke verantwoordelijk voor dat de persoonsgegevens voldoende beveiligd zijn. Als een leverancier van clouddiensten een fout maakt in de beveiliging, zal u voor daarvoor verantwoordelijk worden gehouden. U dient dus goede afspraken te maken met de leverancier van de clouddiensten, waarmee u het risico – zo veel als juridisch toegestaan – verlegt naar de leverancier. Daarnaast moet u de bewerker verplichten om u onmiddellijk van een datalek op te hoogte te stellen (o.a. in verband met de meldplicht datalekken, zie hieronder). Wij adviseren daarom ook schriftelijk vast te leggen welke de beveiligingsmaatregelen er in het datacenter zijn getroffen. Met afspraken alleen bent u er nog niet. U bent u als verantwoordelijke ook verplicht om te controleren of de bewerker zijn verplichtingen nakomt.
Op basis van de Europese privacy wetgeving, mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Dit betekent dat een leverancier van clouddiensten, na beëindiging van de clouddienstverlening, alle data van uw organisatie zijn servers moet verwijderen. Dit geldt ook voor de in het verleden gemaakte back-ups. Als de leverancier dat niet doet, bent u daarvoor verantwoordelijk. Om het risico van een eventuele fout zo veel mogelijk te verleggen, zult u de leverancier daartoe instructies moeten geven.
Per 1 januari 2016 wordt in Nederland ook de meldplicht datalekken geïntroduceerd. Op uw organisatie komt daarmee de verplichting te rusten om een datalek tijdig te melden bij het CBP. Doet u dat niet, dan kunt u een flinke boete van het CBP krijgen. De boete kan oplopen tot EUR 810.000 (afhankelijk van de omvang van uw organisatie). Dit betekent dat de leverancier van clouddiensten, u wel op de hoogte zal moet stellen van een datalek dat is ontstaan in uw data. U bent namelijk verantwoordelijk voor de persoonsgegevens, en u kunt zich niet verschuilen achter het excuus dat de leverancier u niets heeft verteld.
De ‘International Organization for Standardization’ (ISO) en de ‘International Electrotechnical Commission’ (IEC) hebben augustus 2014 een nieuwe ISO norm vastgesteld voor privacy in the cloud, de ISO 27018. Wij raden onze cliënten dan ook aan om te kiezen voor een partij die ISO 27018 gecertificeerd is.
Laat u er echter niet toe verleiden om te denken dat u met de keuze van een ISO 27018 dienstverlener ontslagen bent van uw verantwoordelijkheden. U blijft namelijk verantwoordelijke van de persoonsgegevens die zich in uw data bevinden en de leverancier van clouddiensten blijft de bewerker.
Er zijn veel praktische oplossingen die uw bedrijfsprocessen niet te veel verstoren maar waarmee u wel privacy compliant bent. Voorbeelden daarvan zijn een goed privacy statement en een gedetailleerde bewerkersovereenkomst met de leverancier van clouddiensten. Köster advocaten kan u hierbij helpen. Neem daarvoor contact op met de Praktijkgroep ICT, Internet & Privacy.
