CPB en privacy in de ‘cloud’

Bedrijven mogen er niet blind op vertrouwen dat een Amerikaanse cloudaanbieder persoonsgegevens naar Europese en Nederlandse maatstaven goed beschermt, schrijft het College bescherming persoonsgegevens. De overeenkomst die de Europese Unie en de Amerikaanse overheid hebben gesloten over verwerking van persoonsgegevens, de zogeheten safe harbor-overeenkomst, biedt volgens het CBP niet genoeg bescherming.Volgens het CBP is het niet alleen nodig om een dienstverlener te kiezen die een safe-harbor-certificering heeft; er zijn aanvullende maatregelen nodig om aan de Europese en Nederlandse privacyregels te voldoen. Zo zou er een risico-analyse moeten worden opgesteld, waarbij moet worden bekeken welke gegevens onder welke voorwaarden bij een clouddienst mogen worden opgeslagen.

Daarnaast moet er een speciale ‘bewerkersovereenkomst’ worden opgesteld met aanvullende afspraken over de privacy. Daarbij moet de cloudleverancier toezeggen om in lijn met de Europese databeveiligingsrichtlijnen te handelen. Het is uiteindelijk de verantwoordelijkheid van het bedrijf dat de data in een cloudomgeving láát opslaan, om ervoor te zorgen dat dit conform de privacywetgeving gebeurt, stelt het CBP. Die wetgeving staat overigens op het punt om nog verder verscherpt te worden.

Het CBP heeft zijn ‘zienswijze’ gepubliceerd in reactie op vragen van SURFmarket, een IT-dienstverlener voor de educatieve sector die onderdeel is van SURF. Die stelde de vragen naar aanleiding van zijn in juni gepresenteerde Google Apps-integratie. Opvallend is dat SURFmarket heeft besloten om de antwoorden van het CBP niet af te wachten. ‘Een aantal instellingen wilde al met Google Apps aan de gang’, zegt SURFmarket-directeur Jan Bakker.

Gevolg daarvan is dat afspraken met Google over de gegevensverwerking moeten worden herzien. Er is in grote lijnen een risico-analyse gemaakt, maar er is geen bewerkersovereenkomst gesloten. Volgens Bakker is er wel rekening gehouden met gegevensverwerking: ‘We kunnen de contracten met Google nog wijzigen en we hebben Google de antwoorden van het CBP opgestuurd’, aldus Bakker. Ik ben benieuwd: Google heeft al eerder aangegeven zich daarvoor niet te lenen.

Alle bedrijven die naar een clouddienst willen overstappen en zich daarbij aan de Nederlandse privacywetgeving willen houden, moeten rekening houden met de zienswijze van het CBP. ‘Je blijft zelf verantwoordelijk voor de persoonsgegevens’, aldus woordvoerster Lysette Rutgers. ‘Het is niet zo dat je als Nederlands bedrijf niet meer verantwoordelijk bent voor die gegevens als je ze uitbesteedt aan een clouddienst’.

Opvallend is dat het CBP zich niet uitlaat over de Amerikaanse Patriot Act, die de Amerikaanse overheid het recht geeft om gegevens op te vragen bij dienstverleners. Daarmee zouden ook gegevens van Nederlandse bedrijven kunnen worden opgevraagd. Volgens Rutgers staat dat hier echter los van. Een wat vreemd antwoord, want dit is wel degelijk een van de redenen waarom de Safe Harbor-overeenkomsten twijfelachtig van karakter zijn.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *