Skip to main content

AVG en de impact op cloud computing

Het effect op overeenkomsten tussen ondernemingen en cloud serviceproviders

Hoe zal cloud computing veranderen door de AVG? Wat zijn de algemene privacy uitdagingen en de specifieke uitdagingen van de AVG waar u rekening mee moet houden?

Door Alex Tolsma

Privacy artikelen
Privacy diensten

Overstappen naar de cloud

 

Steeds meer bedrijven stappen over naar de cloud. Dit kan grote voordelen hebben voor een bedrijf, aangezien het zorgt voor een betere optimalisatie van IT-middelen doordat cloudoplossingen bijna onbeperkte schaalbaarheid en grote flexibiliteit bieden. En dat alles tegen beheersbare kosten.

Doorgaans kwalificeert een cloud serviceprovider zich als verwerker wanneer uw onderneming gebruik maakt van hun diensten. De cloud serviceprovider verwerkt persoonsgegevens die in opdracht van u, de controller, zijn opgeslagen in zijn databases of servers. De cloud serviceprovider kan niets met uw gegevens doen, tenzij u daartoe opdracht geeft en de gegevens binnen uw controle blijven.

Bij het gebruik van clouddiensten zullen ondernemingen voor uitdagingen komen te staan. Enkele uitdagingen zijn (1) algemene privacy uitdagingen van cloud computing en (2) meer AVG-specifieke uitdagingen. Op deze uitdagingen moet worden geanticipeerd bij het gebruik van clouddiensten, en het behandelen van deze uitdagingen zal het belangrijkste deel van deze blog vormen.  

Algemene privacy uitdagingen van cloud computing

 

Een van deze uitdagingen in cloud computing hangt samen met de gevoeligheid van de toevertrouwde informatie. Als onderneming kunt u bijna elk type informatie in de cloud hosten, inclusief gevoelige informatie, wat het risico op ongecontroleerde verspreiding van deze informatie naar derden (bijv. concurrenten) vergroot. Derden, waarvan u niet wilt dat ze toegang krijgen tot uw gegevens. Als er wordt gekozen voor een cloud computing oplossing waarbij de locatie van gegevensverwerking en/of opslag worden gedeeld, bestaat het risico op informatielekken.

Daarnaast kan het voor ondernemingen een uitdaging zijn om te bepalen welk recht van toepassing is. Met cloud computing kan de relatie tussen gegevens en een geografische locatie vervagen. Het is niet altijd duidelijk waar gegevens zijn opgeslagen. Daarom kan het moeilijk zijn voor een onderneming om de toepasselijke wetgeving vast te stellen. Binnen de EU is de fysieke locatie een beslissende factor om te bepalen welke privacyregels van toepassing zijn. Echter, in andere rechtsgebieden kunnen andere regels gelden. Deze uitdaging wordt moeilijker vanwege de veranderlijkheid van gegevens in de cloud. Gegevens kunnen regelmatig van de ene locatie naar de andere worden verplaatst of kunnen zich op meerdere locaties tegelijk bevinden. Dit maakt het moeilijk om de toepasselijke wetgeving te bepalen en gegevensstromen te bewaken.

Een andere uitdaging ligt in de externalisering van privacy. Ondernemingen die gebruikmaken van cloud serviceproviders verwachten dat de privacyverplichtingen die zij aan hun eigen klanten en werknemers hebben verbonden, ook door de cloud serviceprovider zullen worden nageleefd. Als een dergelijke provider in veel rechtsgebieden actief is, kan de uitoefening van de rechten van de betrokkenen ook aan andere voorwaarden onderhevig zijn. Daarom wordt een op maat gemaakt contract geadviseerd waarin clausules over deze privacyverplichtingen zijn opgenomen, naast afspraken over de relatie tussen de controller en de verwerker.  

AVG-specifieke uitdagingen

 

Retentie effectief implementeren in de cloud. Over het algemeen geldt dat persoonsgegevens onder de AVG niet langer mogen worden bewaard dan nodig is voor het vooraf bepaalde doel. Daarom moeten bewaartermijnen worden geïmplementeerd en moet het mogelijk zijn om gegevens effectief te verwijderen wanneer de bewaartermijnen zijn verstreken: zowel voor gegevens die lokaal zijn opgeslagen als in de cloud. De moeilijkheid hierbij is dat gegevens op meerdere locaties en onder meerdere rechtsgebieden, kunnen worden opgeslagen door cloud serviceproviders, waardoor de uitdaging ontstaat om bewaarvereisten voor meerdere rechtsgebieden te identificeren en te beheren. Het verwijderen van gegevens vormt ook een uitdaging. Om gegevens volledig te verwijderen, moeten ook back-ups in overweging worden genomen. Daarom is het belangrijk om een duidelijk overzicht te hebben van hoe back-ups worden beveiligd en hoe retentie wordt beheerd door uw cloud serviceproviders.

Inbreuk maken op respons en coördinatie. Verplichting tot inbreukmelding en protocollen moeten worden opgenomen in gegevensverwerkingsovereenkomsten met cloudproviders. In het contract moet een schending worden gedefinieerd en moet een procedure worden beschreven voor de provider om uw onderneming zonder onnodige vertraging op de hoogte te stellen van eventuele inbreuken. Zelfs als de cloudprovider te maken krijgt met een datalek dat gevolgen heeft voor meerdere klanten, moet de controller (u) de externe communicatie moeten beheren en de algehele inbreuk met hun ondersteuning moeten afhandelen. Wat controllers niet willen, is dat een inbreuk de krantenkoppen haalt voordat hun provider hen op de hoogte stelt van de inbreuk en voordat de controller de lokale autoriteiten heeft kunnen informeren.

Verwerking van persoonsgegevens buiten de European Economic Area (EEA). Omdat gegevens door cloud serviceproviders op meerdere locaties kunnen worden opgeslagen, is het mogelijk dat persoonsgegevens buiten de EEA worden opgeslagen. Voor deze verwerking moeten passende beschermingsmaatregelen worden genomen als er geen adequaatheidsbesluit is genomen over het land waar de gegevens zich bevinden. Controllers zullen een cloudstrategie voor meerdere landen moeten definiëren om te voldoen aan de adequaatheidseisen en de wetten inzake gegevenslokalisatie.

Overdraagbaarheid van gegevens voor de controller. Controllers moeten het recht op overdraagbaarheid van gegevens voor betrokkenen kunnen faciliteren. Indien de gegevens van de controller zich in de cloud bevinden, moet het voor de controller mogelijk zijn om de gegevens in een gestructureerde, gangbare en machineleesbare vorm op te vragen om aan de betrokkene of een andere controller te verstrekken. Het is belangrijk om hierover afspraken te maken met cloudproviders die door uw onderneming worden ingehuurd. Providers moeten de technische mogelijkheden bieden om ervoor te zorgen dat controllers aan dit recht van de betrokkene kunnen voldoen.

Eigendom van gegevens. Als controller moet u de controle en het eigendom van uw eigen gegevens behouden. Dit moet daarom expliciet in het contract worden vastgelegd. Daarnaast moet u bevestigen dat, volgens de wetgeving van het gastland, uw bedrijf eigenaar blijft van de overgedragen gegevens.

Risico management. cloud serviceproviders moeten onderdeel zijn van uw risicomanagement voor derden. Om eventuele risico's te bepalen die kunnen optreden bij het gebruik van een cloud serviceprovider, kunnen een Data Protection Impact Assessment (DPIA) en een beveiligingsbeoordeling worden uitgevoerd. Daarnaast moet het recht om cloudproviders te controleren worden opgenomen in de overeenkomsten die met deze providers worden gesloten. Om een goede audit uit te voeren, moet naast een passend auditplan ook een controlekader met privacy en privacy by design beheersmaatregelen worden gedefinieerd.

Cloud architectuur en privacy by design. Als controller moet u, bij het inschakelen van een cloudprovider, de onderliggende technologieën begrijpen die de cloudprovider gebruikt en de implicaties die deze technologieën kunnen hebben op de beveiligingsmaatregelen en bescherming van de persoonsgegevens die in de cloud zijn opgeslagen. De architectuur van het systeem van een cloudprovider moet worden gemonitord om eventuele technologische veranderingen en aanbevolen updates van het systeem te adresseren.

Zichtbaarheid met betrekking tot metadata en dataminimalisatie. Als u als controller geïnteresseerd bent in het aangaan van een servicecontract voor clouddiensten, dient u informatie te verkrijgen over de soorten metadata die door de cloudprovider worden verzameld. Overweeg welk beschermingsniveau wordt geboden voor metadata, de respectieve eigendomsrechten, rechten om af te zien van verzameling of distributie van metadata, en het beoogde gebruik van metadata.

Beveiliging van privacy. Als controller heeft u geen controle over de (IT)omgeving van de cloudprovider en moet u vertrouwen op (IT)controles die de provider heeft ingesteld. Daarom is het altijd noodzakelijk om te beoordelen in hoeverre de provider in staat is om aan uw IT beveiligingsvereisten te voldoen. Dit kan worden gedaan via het derdepartij-risicomanagementproces. Daarnaast moet u ook beoordelen welke IT beveiligings- en privacymaatregelen of certificeringen de provider heeft. Cloudproviders kunnen naleving van beveiliging en Privacy by Design op verschillende manieren aantonen:

  • Met de resultaten van een uitgevoerde DPIA;
  • Door ISO 27001 gecertificeerd te zijn (informatiebeveiligingsmanagementsysteem);
  • Door ISO 27018 gecertificeerd te zijn (gedragscode voor de bescherming van persoonlijk identificeerbare informatie (PII) in openbare clouds die optreden als PII-verwerkers).

Vervolgstappen

 

Als uw onderneming gebruik maakt van cloud serviceproviders, is het noodzakelijk om een goed overzicht te hebben van uw dataherkomst. U wilt weten waar de gegevens zijn opgeslagen, hoe deze kunnen worden overgedragen en welke toegangsrechten u heeft tot uw eigen gegevens. De locatie van uw gegevens is belangrijk om de toepasselijke wetgeving te bepalen. U wilt ook controleren of de beveiligingsmaatregelen die de cloudprovider heeft genomen voldoende zijn. Een audit kan een goede maatregel zijn om deze maatregelen te beoordelen, dus u wilt dit recht in uw overeenkomsten opnemen.

Meer informatie?

 

Voor meer informatie over AVG kunt u contact opnemen met Annika Sponselee of Nicole Vreeman via onderstaande contactgegevens.

Did you find this useful?

Thanks for your feedback

If you would like to help improve Deloitte.com further, please complete a 3-minute survey