Veel bedrijven maken gebruik van clouddiensten. Hoewel dat veel voordelen met zich meebrengt, komen er ook risico’s bij kijken.
Als uw organisatie persoonsgegevens (van bijvoorbeeld klanten) in de cloud opslaat, is het van belang dat u de privacy van de betrokkenen voldoende blijft beschermen. Een goed beveiligde server in een datacenter is daarvoor niet voldoende. Wij helpen u graag een op weg met een aantal tips.
De leverancier van clouddiensten: een bewerker
Als uw organisatie persoonsgegevens in the cloud opslaat, dan is de leverancier van clouddiensten een ‘bewerker’ van de persoonsgegevens. Dit betekent dat u ervoor verantwoordelijk bent om een bewerker te selecteren zich aan de Europese privacyregels houdt. Voorts dient u met de leverancier van clouddiensten een bewerkersovereenkomst te sluiten. Helaas, zijn de overeenkomsten met clouddienstverleners niet altijd onderhandelbaar. Wij adviseren u te kiezen voor een clouddienstverlener die daar wel voor openstaat, zodat u met uw clouddienstverlener goede afspraken kunt maken.
Servers in het buitenland
Vaak worden er door leverancier van clouddiensten servers gebruikt die niet in Nederland staan. Als dergelijke servers buiten de Europese Unie staan, is sprake van ‘doorgifte naar derdenlanden’. In dat geval bent u er verantwoordelijk voor na te gaan of dit derde land zich houdt aan de Europese privacyregels. Let op: als de persoonsgegevens via een in de EU gelegen server ter beschikking worden gesteld aan een helpdesk in India is er óók sprake van doorgifte naar het buitenland.
Datalek
Uw organisatie is verplicht om een datalek tijdig te melden bij de Autoriteit Persoonsgegevens; ook indien er een lek heeft plaatsgevonden bij het datacenter. Doet u dat niet, dan loopt uw organisatie het risico op een flinke boete. Dit betekent dat uw leverancier van clouddiensten, u op de hoogte zal moeten stellen van een datalek dat is ontstaan in uw data.
Laat u er echter niet toe verleiden om te denken dat u met de keuze van goed beveiligd datacenter ontslagen bent van uw verantwoordelijkheden. U blijft verantwoordelijk voor de bescherming van de persoonsgegevens die zich in uw cloud bevinden. Wij helpen u graag met het privacy compliant maken van uw organisatie en met het opstellen van goede bewerkersovereenkomsten en privacy protocollen.
