Cloud en privacy: waar staan uw bedrijf kritische gegevens?

Als u eigenaar bent van een bedrijf, dan is de kans groot dat u klant- en personeelsgegevens in uw beheer heeft. Vandaag de dag is het vaak heel praktisch om die gegevens in de Cloud te hebben omdat u hiermee deze gemakkelijk kunt verwerken en hierdoor voor iedereen bereikbaar is, maar kunt u zeggen waar deze Cloud zich bevindt en met welke privacywetten u rekening dient te houden?

De naam van de aanbieder weet u, maar weet u ook waar hij uw gegevens verwerkt en hoe ze zijn beschermd? Toch is het in het huidige landschap van cyberinvallen en datalekken niet onverstandig bewust te zijn van waar de informatie en gegevens over uw personeel en klanten worden opgeslagen en door wie. De Cloud klinkt misschien als een ongrijpbare locatie, in werkelijkheid kunnen die gegevens overal ter wereld op een server staan.

Het is niet zo dat iedereen maar Cloud diensten mag aanbieden. Er is een regelgeving waar een aanbieder van Cloud oplossingen aan moet voldoen en die is binnen de Europese Unie centraal geregeld. Voor alle lidstaten geldt een wetgeving waar landen zich minimaal aan moeten houden. De lidstaten kunnen bovendien afzonderlijk meer privacyregels hanteren. Dat verklaart waarom gegevens in het ene land beter beschermd kunnen zijn dan in het andere land. Buiten Europa kennen de afzonderlijke landen een eigen regelgeving.

De wetgeving die in Nederland over privacy van persoonsgegevens gaat is de Wet Bescherming Persoonsgegevens (Wbp). In veel gevallen zal een aanbieder echter ook rekening moeten houden met de bepaalde wetgeving van landen binnen de EU en daarbuiten, zoals de Verenigde Staten. Om te begrijpen hoe de wet omspringt met uw gegevens die in verschillende landen worden gestald, is het handig om eerst het basisprincipe van de Wbp te doorgronden. De Wbp is van toepassing op een geautomatiseerde verwerking van persoonsgegevens én legt een aantal algemene verplichtingen op.

De Wet maakt onderscheid tussen drie partijen die van belang zijn bij de privacybescherming bij clouddiensten: de verantwoordelijke, de bewerker en de betrokkene. De verantwoordelijke is de aanbieder van de dienst. Voert u het beheer over persoonsgegevens van uw klanten en personeel, dan bent u in veel gevallen de verantwoordelijke. De klanten en het personeel (de betrokkenen) verstrekken immers hun gegevens aan u en geven toestemming voor verwerking hiervan. U kunt vervolgens de verwerking – bijvoorbeeld met opslag in de Cloud - de persoonsgegevens aan een ander overlaten. Dit is de bewerker en is degene die de gegevens verwerkt.

Er is dus een verschil tussen de verantwoordelijke en de bewerker: de laatstgenoemde bepaalt niet de doelen en middelen voor de verwerking van de gegevens, maar verwerkt deze slechts in opdracht van u, de verantwoordelijke. De bewerker moet ook aan de regels voldoen. Die worden vastgelegd in een overeenkomst tussen de verantwoordelijke en de bewerker; de bewerkersovereenkomst.

Welke wet geldt nu als uw bedrijf in Nederland gevestigd is, maar de gegevens wel op een server in Amerika hebt staan? Om te bepalen aan welke wet uw organisatie zich moet houden, kijkt de Wbp voornamelijk naar de vestigingsplaats van uw bedrijf. Bent u in Nederland gevestigd, dan gelden de Nederlandse regels. Het is in de regel dus alleen relevant waar de verantwoordelijke zijn hoofdactiviteiten heeft, de plek waar de gegevens later worden verwerkt doet er in beginsel niet toe bij bepaling van de juiste wetgeving.

Toch maakt het voor uw bedrijf wel degelijk uit waar de gegevens waar u de verantwoordelijkheid over heeft worden verwerkt. Niet elk land is immers even veilig en transparant. Daarom stelt de Wbp dat u als verantwoordelijke niet zomaar in elk willekeurig land gegevens van anderen mag opslaan en verwerven. Om als provider zaken te kunnen doen met bedrijven uit landen buiten de EU, moet er zeker worden gesteld dat deze landen en deze bedrijven een passend beschermingsniveau van persoonsgegevens hebben. Als verantwoordelijke bent dan ook verplicht om een zogenoemde ‘Bewerkingsovereenkomst’ met de bewerker te sluiten waarin deze bescherming staat vermeld.

Binnen de EU vormt dit uiteraard geen probleem aangezien elke lidstaat zich aan minstens dezelfde richtlijnen moet houden. Wanneer uw bedrijf over de Europese grens zaken gaat doen, zult u kritischer moeten zijn. Een handig hulpmiddel waartoe u zich kunt wenden is de ‘Witte lijst’ waarop landen staan waarvan de EU heeft bepaald dat de privacybescherming voldoende is. Het is een nuttige lijst, maar u blijft degene die zorg moet dragen dat de binnen- of buitenlandse bedrijven die de gegevens verwerken, zich aan de afgesproken privacyregels houden.

Waar het uiteindelijk om gaat is dat het voor alle partijen duidelijk is waar ieders zijn verantwoordelijkheden en rechten liggen, vooral in het geval dat er onverhoopt een data lek ontstaat.

VS waarschuwt voor de Cloud in vitale sector.pdf (226.77KB)
VS waarschuwt voor de Cloud in vitale sector.pdf (226.77KB)
Traditionele netwerk controle is niet effectief_1.pdf (409.08KB)
Traditionele netwerk controle is niet effectief_1.pdf (409.08KB)
OpenSSL-lek maakt webservers kwetsbaar voor dos-aanvallen.pdf (391.51KB)
OpenSSL-lek maakt webservers kwetsbaar voor dos-aanvallen.pdf (391.51KB)
Een op vier Nederlanders slachtoffer van cybercriminaliteit.pdf (415.81KB)
Een op vier Nederlanders slachtoffer van cybercriminaliteit.pdf (415.81KB)
Sophos XG-firewalls doelwit van zeroday-aanval.pdf (392.02KB)
Sophos XG-firewalls doelwit van zeroday-aanval.pdf (392.02KB)
Microsoft 91 procent cyberaanvallen begint met e-mail.pdf (641.82KB)
Microsoft 91 procent cyberaanvallen begint met e-mail.pdf (641.82KB)

 

 

 

 

 

 

 

 

 

 

 

 

 

Opbellen
E-mail
Info