Cloud en privacy (bron: Ploum Lodder Princen )
Ploum over... Privacy in de cloud?
Inleiding
Het grote verschil tussen cloud computing en andere vormen van outsourcing van ict-processen is dat je bij cloud computing als cloud gebruiker vaak geen idee hebt op welke server, in welk land de gegevens zich bevinden. Het kan gebeuren dat je klantgegevens het ene uur op een server in Ierland staan en het andere uur in Japan.
Dat gebrek aan controle en het voortdurend in beweging zijn van de gegevens roept vragen op over de wijze waarop een cloud gebruiker kan voldoen aan de toepasselijke privacywetgeving.
In deze whitepaper beschrijven we welke privacyregels relevant zijn voor cloud computing en op welke wijze een bedrijf kan voldoen aan deze regels.
Samenvatting
Als een bedrijf besluit een cloudoplossing te kiezen, zal in vrijwel alle gevallen sprake zijn van verwerking van persoons- gegevens en daarmee van toepasselijkheid van de hierna geschetste privacywetgeving. Als een bedrijf gebruik gaat maken van een cloudoplossing worden er immers verschillende privacygevoelige gegevens buiten de eigen organisatie gebracht. Dat zal meestal gaan om gegevens van klanten, medewerkers en andere relaties.
Dat betekent dat een bedrijf vooraf moet inventariseren welke gegevens in de cloud worden gebracht en welke eisen daarvoor moeten worden gesteld aan de cloudprovider. Het contract met de cloudprovider zal moeten voldoen aan de hierna geschetste betrekkelijke waslijst van (aanvullende) eisen. Dat betekent vaak een niet eenvoudig onderhandelingstraject met de cloudprovider. De verwachting is overigens dat steeds meer cloudproviders hun diensten en contracten zullen aanpassen aan de privacyeisen van de toezichthouder. Als u kiest voor een cloudoplossing of contract die niet voldoen aan de geldende wet- en regelgeving loopt u afbreukrisico en de kans dat een boete of last onder dwangsom door de toezichthouder wordt opgelegd.
Schets privacywetgeving
Voor alle partijen die persoonsgegevens verwerken, geldt dat deze moeten voldoen aan de regels van de Wet Bescherming Persoonsgegevens (Wbp). Deze wet is gebaseerd op verschillende Europese richtlijnen. 1
Verwerking van persoonsgegevens
Persoonsgegevens zijn alle gegevens die informatie bevatten die kunnen worden herleid tot een persoon en die persoonlijke informatie geven over die persoon. Dat zijn bijvoorbeeld adres- gegevens, maar ook bankrekeninggegevens, IP-adressen, een kopie van een paspoort, bsn-nummers en inloggegevens. Ieder bedrijf verwerkt in zijn normale bedrijfsuitoefening persoonsgegevens. Te denken valt in ieder geval aan de personeelsadministratie en het klanten- en relatiebestand.
De Wbp stelt eisen aan de wijze waarop persoonsgegevens moeten worden verwerkt waardoor de privacybelangen van
de personen waarover de gegevens gaan (“de betrokkenen”) worden beschermd. Belangrijkste uitgangspunt is dat persoons- gegevens alleen met een vooraf bepaald doel mogen worden verzameld en verwerkt, en alleen als die verwerking zorgvuldig
1 Onder meer de Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens en Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie, gewijzigd bij Richtlijn 2006/24/EG
1
Ploum over... Privacy in de cloud?
gebeurt, niet in strijd is met een van de in de wet bepaalde gronden en er niet meer informatie wordt verwerkt dan noodzakelijk.2
Voor de verwerking van bepaalde gegevens geldt dat die slechts in een beperkt aantal gevallen of alleen met uitdrukkelijke toestemming van de betrokkenen mogen worden verwerkt. Het gaat dan bijvoorbeeld om gegevens over iemands gezondheid (bijvoorbeeld ziekteverzuimgegevens) of iemands ras (bijvoorbeeld foto's).
Verantwoordelijke en bewerker
De partij die het doel en de middelen van de verwerking bepaalt, is de “verantwoordelijke” en op die partij rust de verplichting om aan de eisen van de wet te voldoen. Bij cloud computing is de cloudafnemer de verantwoordelijke in de zin van de Wbp. De cloudprovider kan in bepaalde gevallen ook als mede- verantwoordelijke worden gezien, maar ten opzichte van de klant of medewerker blijft de cloudafnemer (het bedrijf) steeds in ieder geval ook verantwoordelijk voor de verwerking in overeen- stemming met de wet.
De verantwoordelijke kan uiteraard een andere partij gebruiken voor het verwerken van persoonsgegevens; die partij wordt de “bewerker” genoemd. Bij cloud computing is de cloudprovider de bewerker. De bewerker kan weer andere partijen inschakelen die subbewerkers worden genoemd.
Doorgifte buiten Europa
Voor doorgifte van persoonsgegevens aan (sub)bewerkers buiten Europa 3 gelden nog aanvullende eisen. Dat mag alleen als die bewerker de gegevens verwerkt met een passend beschermingsniveau, vergelijkbaar met dat in Europa. Er is een groeiend aantal landen waarvoor op Europees niveau is vast- gesteld dat deze landen een passend beschermingsniveau kennen. 4 Voor de Verenigde Staten geldt dat een passend beschermingsniveau alleen wordt geboden door de bedrijven en andere organisaties die zich hebben verplicht tot het toepassen van de zogenaamde Safe Harbour regels.5
Voor verwerking in andere landen of door partijen die safe harbourcertificering kennen, is vereist dat de verantwoordelijke ofwel een vergunning van de Minister van Justitie verkrijgt
2 Zie voor een uitgebreide schets en toelichting van de Wbp http://www.cbpweb.nl/pages/ind_wetten_wbp.aspx
3 De Europese Economische ruimte+ de Lidstaten van de EU, Liechtenstein, Noor- wegen en IJsland.
-
4 Dat geldt in maart 2013 onder meer voor Andorra, Argentinië, Australië, Faroer Eilanden, Guernsey, Isle of Man, Israel, Jersey, Uruguay en Zwitserland. Monaco, Nieuw Zeeland en India hebben een aanvraag ingediend bij de Europese Com- missie om als “land met passend beschermingsniveau” te worden aangemerkt..
-
5 Zie de lijst met bedrijven die voldoen aan de vereisten op http://safeharbor. export.gov/list.aspx.
ofwel met de bewerker een bewerkersovereenkomst afsluit die inhoudelijk volledig gelijk is aan door de Europese Commissie opgestelde EU Model Clauses.6
Rechten van betrokkene
De betrokkene van wie persoonsgegevens worden verwerkt heeft het recht op inzage in en verbetering, aanvulling, verwijdering en afscherming van de gegevens. Verder heeft hij het recht om zich te verzetten tegen de verwerking. De verantwoordelijke is verder verplicht de betrokkene te informeren over de verwerking van zijn gegevens.
Toezicht en overige relevante regelgeving
De naleving van de privacywetgeving wordt gecontroleerd door het College Bescherming Persoonsgegevens (CBP).7 Als een bedrijf in een bepaalde sector opereert, kunnen verder nog aanvullende eisen gelden voor de verwerking van persoons- gegevens. Dat geldt bijvoorbeeld voor de gezondheidssector 8, de financiële sector 9 en de telecommunicatiesector.10
Verder moet bij de verwerking van persoonsgegevens ook nog rekening worden gehouden met eventuele geldende wetgeving op opsporings- en inlichtingengebied. Een berucht voorbeeld hiervan is de Amerikaanse antiterrorismewetgeving (Patriot Act). Op grond van deze wetgeving mogen de Amerikaanse inlichtingen- diensten met een betrekkelijk gemakkelijk te verkrijgen toe- stemming, alle bestanden doorzoeken die zich bij bedrijven bevinden die gelieerd zijn aan een in de VS gevestigd bedrijf. Maar ook in veel andere landen is het voor de opsporings- diensten betrekkelijk eenvoudig om toestemming te krijgen om persoonsgegevens doorzoeken. Onder meer Nederland heeft de reputatie een “aftapwalhalla” te zijn.
Sancties
Als een verantwoordelijke niet voldoet aan de relevante wet- geving loopt hij een aantal risico's:
• afbreukrisico door negatieve publiciteit;
• aansprakelijkheid voor de schade van de betrokkenen.
6 Zie voor de EU Model Clauses http://eur-lex.europa.eu/LexUriServ/LexUriServ.do ?uri=OJ:L:2010:039:0005:0018:EN:PDF
7 Zie voor een beschrijving van de bevoegdheden van het CBP onder meer www. cbpweb.nl
8 Zie onder meer het informatieblad van het CBP “Geheimhouding van medische gegevens” op http://www.cbpweb.nl/Pages/inf_va_geh_med_gegevens.aspx en de verkenning “Privacy bij ICT in de zorg” op http://www.cbpweb.nl/pages/ ind_wetten_wbp.aspx
9 Zie onder meer de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen op http://www.cbpweb.nl/downloads_gedragscodes/gedr_financie- le_instellingen.pdf en de circulaire Cloud Computing van de DNB op http://www. toezicht.dnb.nl/binaries/Cloud%20computing_tcm50-224828.pdf
10 Onder meer hoofdstuk 11 van de Telecommunicatiewet op http://www.st-ab.nl/ wetten/0273_Telecommunicatiewet.htm
2
Ploum over... Privacy in de cloud?
Het zal in veel gevallen overigens lastig zijn voor een betrokkenen om aan te tonen welke (materiële) schade een betrokken heeft gelden als gevolg van de niet-naleving;
-
een last onder dwangsom van het CBP om het onrechtmatige handelen te beëindigen; en
-
een bestuurlijke boete van het CBP . Deze boete is op dit moment ten hoogste EUR 4500, maar kan op grond van het voorstel voor een nieuwe Privacyverordening oplopen tot EUR 1.000.000 of 2% van de wereldwijde jaaromzet van de verantwoordelijke;
-
of een strafrechtelijke boete van de tweede categorie. 11
Eisen aan privacybescherming in de cloud
Als een bedrijf persoonsgegevens in de cloud gaat brengen, schakelt hij (als verantwoordelijke) en bewerker (de cloudpro- vider) in. Voor het inschakelen van een bewerker geldende volgende algemene eisen:
-
de bewerker mag de persoonsgegevens alleen in opdracht van de verantwoordelijke verwerken;
-
de verantwoordelijke moet een schriftelijke overeenkomst sluiten met de bewerker;
-
de verantwoordelijke moet zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen
treft om de persoonsgegevens die hij verwerkt te beveiligen tegen verlies en onrechtmatige verwerking; -
De verantwoordelijke moet toezien op naleving van die beveiligingsmaatregelen door de bewerker; en
-
Op de bewerker moet een verplichting rusten om gegevens vertrouwelijk te behandelen.
Als een bewerker op zijn beurt weer een subbewerker inschakelt, moet de overeenkomst tussen de bewerker en de subbewerker aan dezelfde vereisten voldoen als hiervoor (en ook hierna) genoemd. De verantwoordelijke blijft daarbij uiteindelijk jegens de betrokkene en de toezichthouder verantwoordelijk voor de hele keten van (sub)bewerkingen.
Aanvullende eisen toezichthouders voor
cloud computing
Inmiddels zijn de wettelijke eisen die aan verwerking door cloudproviders worden gesteld, nader ingevuld door de Europese
11 Op dit moment ten hoogste EUR 3.900,=
toezichthouders 12 en het CBP.13 Hoewel juristen twijfelen aan de juridische status van deze invulling, doet de cloudafnemer er goed aan, aan de volgende aanvullende eisen te voldoen:
• de cloudafnemer moet in voorkomend geval in zijn privacy-
verklaring verwijzen naar het gebruik van cloudproviders
bij zijn dienstverlening;
• de cloudafnemer moet de technische en organisatorische
beveiligingseisen specificeren, waaronder de verplichting om toegang tot de gegevens te loggen. Dat vereist een duidelijke risicoanalyse voorafgaand aan de contractering. Hierbij moet worden bepaald hoe gevoelig de te verwerken gegevens zijn en welk beveiligingsniveau daarbij passend is. Het CBP heeft de beveiligingseisen in februari 2013 vastgelegd in de Richtsnoeren Beveiliging van Persoons- gegevens. 14 Voor nadere informatie over Beveiliging in
de cloud, verwijzen wij onder meer naar de » whitepaper
'Beveiliging in de cloud';
• in het contract moet worden gespecificeerd welk type
clouddienst wordt afgenomen en voor welke. Hierbij moet bijvoorbeeld worden beschreven wat er precies met de gegevens gebeurt tijdens de dienst;
• in het contract moet zijn gespecificeerd wat er met de gegevens gebeurt als de dienst wordt beëindigd;
• de cloudprovider moet verplicht zijn om mee te werken aan de uitoefening van het recht van een betrokkene tot inzage, verzet, wijziging, verwijdering en/of afscherming van de gegevens;
• de cloudprovider moet de cloudafnemer informeren over
o eventuele datalekken en andere beveiligingsincidenten; o wijzigingen in de uitvoering van de diensten;
o wijziging in de locatie van de diensten; en
o verzoeken van de overheid voor toegang tot de gegevens.
• De cloudafnemer moet het recht hebben om de verwerking te monitoren en de cloudprovider te auditen;
• De cloudafnemer moet van de cloudprovider bewijs vragen dat de provider voldoet aan de wet- en regelgeving door bijvoorbeeld verklaringen van onafhankelijke auditors.
• De cloudafnemer moet nagaan of de cloudprovider voldoende maatregelen heeft genomen om de beschik- baarheid van de persoonsgegevens op ieder gewenst
12 De opinie van de Artikel 29-werkgroep over Cloud computing, 1 juli 2012, http:// ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recom- mendation/files/2012/wp196_en.pdf
13 De zienswijze van het CBP inzake de toepassing van de Wet bescherming persoonsgegevens bij een overeenkomst met betrekking tot cloud computing diensten van een Amerikaanse leverancier, 10 september 2012, http://www. cbpweb.nl/downloads_med/med_20120910-zienswijze-toepassing-wbp-SURF- market-cloud-computing.pdf
14 http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-per- soonsgegevens.pdf
3
Ploum over... Privacy in de cloud?
moment te garanderen (bijvoorbeeld back-ups, redundant
data opslag)
-
De cloudafnemer moet een garantie vragen ten aanzien
van de integriteit van de data (bijvoorbeeld door gebruik
van digitale handtekeningen en encryptie)
-
De cloudafnemer moet een versleuteling van de gegevens
tijdens het transport eisen;
-
de cloudafnemer moet eisen dat het risico op onbevoegde
verstrekking van gegevens en onrechtmatig gebruik van gegevens wordt beperkt (bijvoorbeeld door excessieve privileges van systeembeheerders te verbieden);
-
De cloudafnemer moet eisen en controleren dat de cloud- provider geen technologie gebruikt die het voor de cloud- afnemer onmogelijk maakt om van provider te wisselen; en
-
de cloudafnemer moet eisen dat de cloudprovider gebruik maakt van betrouwbare monitortechnieken om beveiligings- incidenten op te sporen en dat hij al het gebruik van de cloud logt.
Aanvullende eisen in nieuwe wetgeving
De verwachting is dat op niet onafzienbare termijn een nieuwe Europese privacyverordening in werking zal treden, op grond waarvan nog een aantal aanvullende eisen voor de verwerking van persoonsgegevens zal gaan gelden. Hoewel het voorliggende voorstel voor de verordening nog verre van definitief is, moeten we er vooralsnog van uitgaan dat de volgende verplichtingen gaan gelden:
-
de plicht om voorafgaand aan de verwerking van persoons- gegevens een Privacy-effectbeoordeling uit te voeren;
-
een documentatieverplichting voor het bijhouden van onder meer de naam en contactgegevens van alle bewerkers en subbewerker;
-
een meldplicht van beveiligingsinbreuken aan in ieder geval de toezichthouder, maar vaak ook de betrokkenen; en
-
de verplichte overdraagbaarheid van gegevens naar een ander verwerkingssysteem.
Deze “nieuwe” verplichtingen gelden overigens voor een groot deel de facto al voor cloud computing omdat deze op dit moment al als aanvullende eisen worden gesteld door de toezichthouders (zoals hiervoor beschreven). Na de inwerkingtreding van de nieuwe Privacyverordening krijgen de eisen dan ook een formele juridische basis.
Voor nader advies over de voor uw onderneming geldende eisen aan privacy in de cloud en advies over de bewerkers- overeenkomst kunt u Ady van Nieuwenhuizen of Miranda Top- Sarneel.
Waarom Ploum?
Ploum heeft volop kennis over en ervaring met cloud computing:
-
Wij begrijpen welke afwegingen een rol spelen bij de
overstap naar de cloud. Natuurlijk zijn privacy en informatie- beveiliging voor u essentieel. We bespreken met u hoe de risico’s het beste afgedekt kunnen worden en onderhandelen daarover met de cloudprovider. Ondernemen is risico’s nemen, maar wel gecalculeerde risico’s.
-
Wij kennen de contracten die cloudproviders aanbieden. Wij weten precies hoe we de valkuilen kunnen omzeilen. We helpen u bij het definiëren van adequate en heldere service levels.
Gaat er toch iets verkeerd, dan zorgen we dat u over de juiste instrumenten beschikt om tot een oplossing te komen.
-
Wij weten hoe een ingebrekestelling moet worden opgesteld. We adviseren u over het opbouwen van een dossier over uw leverancier en over het bepalen van uw strategie.
-
Komt het onverhoopt op een procedure aan? De advocaten van Ploum hebben daarmee volop ervaring, zowel bij de overheidsrechter als in arbitrage, waaronder het Nederlands Arbitrage Instituut (NAI) en de Stichting Geschillenoplossing Automatisering (SGOA).
Duidelijk anders.
Over de auteur: Miranda Top-Sarneel.
Pragmatisch advies over complexe ICT-contracten, ICT-geschillen en privacyrecht. T +31 6 20751001 | E m.topsarneel@ploum.nl
Over de auteur: Ady van Nieuwenhuizen.
Pragmatisch op het gebied van IE, ICT, privacy- en cookiewetgeving en e-commerce. T +31 6 13327654 | E a.vannieuwenhuizen@ploum.nl
Ploum heeft de grootst mogelijke zorg besteed aan de betrouwbaarheid en de actualiteit van deze whitepaper. De whitepaper is bedoeld om een algemeen beeld te schetsen en is dus niet bedoeld als concreet advies in een specifieke kwestie. Ploum is niet aansprakelijk als gevolg van onjuist- heden of onvolledigheden in de aangeboden informatie.
© Ploum Lodder Princen - 2013
Volg ons ook op:
Ploum Lodder Princen
Blaak 28
3011 TA Rotterdam Postbus 711
3000 AS Rotterdam
T +31 10 440 6440 F +31 10 436 4400 W www.ploum.nl
E info@ploum.nl
4