Privacywetgeving in de public cloud: hoe zit dat? - ICTberichten.nl

Privacywetgeving in de public cloud: hoe zit dat?

ICT nieuws eigen redactie

ICT informatiecentrum|

De Nederlandse privacywetgeving lijkt in de meeste gevallen duidelijk: iedere in Nederland gevestigde organisatie moet zich aan de privacyspelregels houden. Bij publieke clouddiensten met servers over de grens ontstaat echter een ingewikkelde situatie. Welke privacy spelregels gelden in de public cloud?

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens, zoals medische gegevens, mogen alleen onder zeer strikte voorwaarden worden verwerkt.

Belangrijkste spelregels

Privacywetgeving in de cloud is niet altijd vanzelfsprekend en jurisdictie speelt absoluut een rol. Er bestaat echter een aantal harde afspraken. We zetten de belangrijkste op een rij:

1. Bewerkersovereenkomst – In geval persoonsgegevens worden verwerkt, zoals vaak bij public cloud diensten, is een bewerkersovereenkomst verplicht. Dat is een officieel document waarin de organisatie afspraken maakt met de cloudprovider over de gegevensbewerking. Ook maakt u in zo’n overeenkomst afspraken over verantwoordelijkheden bij een datalek.

2. Serieuze beveiligingsmaatregelen – Een cloudprovider die persoonsgegevens verwerkt, is verplicht serieuze beveiligingsmaatregelen te nemen, zowel technisch als organisatorisch.

3. Meldplicht richting verantwoordelijke – Een cloudleverancier moet zijn klanten inlichten over een datalek. Melden bij de AP is de verantwoordelijkheid van de klant, ook wanneer de cloudleverancier bewust of onbewust zijn mond houdt over het lek.

4. Doorgifte naar buitenland – Data kunnen (ooit) worden verhuist naar een land buiten de EU. Daar moet u harde afspraken over maken! Dat is verboden, tenzij het land over een minstens zo hoog beschermingsniveau beschikt. Ook bij toegang tot persoonsgegevens op afstand aan een niet-EU-land, zoals een helpdesk in India, is waakzaamheid geboden. Data van Europese burgers op Amerikaanse servers vallen onder het Privacy Shield. Het Amerikaanse cloudbedrijf moet wel daar zijn aangemeld.

De private cloud is met enige oplettendheid absoluut geen privacy-onvriendelijke plek. Goede afspraken met de cloudprovider zijn echter gewenst.

Bron: KPN