Welke afspraken moet je maken voor privacy in de cloud?

Cloud computing is hip. Maar: er zitten ook een aantal (met name privacy rechtelijke) haken en ogen aan. Waar moet je als afnemer op letten? En als leverancier?

Je ziet momenteel steeds vaker dat bedrijven gebruik gaan maken van “cloud computing”. Deze vorm van IT-dienstverlening zorgt er voor dat je op gemakkelijke, flexibele en efficiënte wijze de beschikking hebt over benodigde opslag voor jouw gegevens en software. Clouddiensten variëren van het hosten van software (“Software as a Service”, SaaS) tot platforms (“Platform as a Service”, Paas) en zelfs hele infrastructuren (“Infrastructure as a Service”, Iaas). En de creatieve IT’er bedenkt er zo nog een tal van *aaS vormen bij. Kenmerkend voor cloud computing is dat vaak gebruik wordt gemaakt van meerdere datacentra (soms geleverd door onderaannemers) en dat de data wordt opgeslagen over meerdere locaties.

Meestal is het zo dat de diensten die via de cloud worden geleverd persoonsgegevens verwerken. Op die verwerking kan de Wet bescherming persoonsgegevens van toepassing zijn. De uitleg van die wet – en alle privacy wetten in andere lidstaten van de Europese Unie die zijn gebaseerd op de Privacyrichtlijn – wordt mede ingevuld door (niet bindende) opinies van de Europese Artikel 29 Werkgroep (voluit de “Article 29 Data Protection Working Party”).

Die Artikel 29 Werkgroep heeft recent een opinie gepubliceerd over cloud computing. In die opinie geeft de Werkgroep te kennen dat cloud computing inderdaad economische en sociologische voordelen kan hebben, maar dat het ook een groot risico kan vormen voor de bescherming van persoonsgegevens. Een van de oorzaken daarvan is het gebrek aan controle over persoonsgegevens en onvoldoende informatie over hoe, waar en door wie (inclusief onderaannemers) de persoonsgegevens worden verwerkt.

De Werkgroep raad publieke en private partijen aan om zorgvuldig te analyseren welke risico’s zich kunnen voor doen bij het gebruik van clouddiensten. En als voorschotje daarop geeft de Werkgroep een aantal risico’s weer.  Met name risico’s die gepaard gaan met het delen van resources met andere partijen; het gebrek aan transparantie in de keten van (gezamenlijke) verantwoordelijken, bewerkers en sub-bewerkers; de onbeschikbaarheid van een algemeen, wereldwijd raamwerk om gegevens te kunnen porteren naar andere partijen (zonder tegen propriëtaire standaarden en/of software aan te lopen); en de onzekerheid of het is toegestaan om persoonsgegevens over te brengen naar clouddienstverleners die buiten de Europese Economische Ruimte zijn gevestigd.

Daar komt nog eens bij dat je als bedrijf negen van de tien keer verantwoordelijk bent voor de verwerking van persoonsgegevens van jouw klanten. Je zult jouw klanten moeten informeren over hoe, wie, wat, waar en waarom persoonsgegevens van hen worden verwerkt. Dat is nog knap lastig, als je niet weet waar de clouddiensten persoonsgegevens verwerken en door wie. Ook voor de betrokkene zelf is het zo goed als onmogelijk om controle te houden over zijn of haar eigen persoonsgegevens als ze niet weten wie ze waar verwerkt, en voor welke doeleinden.

De Werkgroep meent daarom dat bedrijven en organisaties die gebruik willen maken van cloud computing, als een eerste stap, een volledige risico analyse moeten verrichten. Alle clouddienstverleners die diensten aanbieden in Europa moeten de afnemer voorzien van alle informatie die noodzakelijk is om een deugdelijke analyse te maken van de voors en de tegens van het gebruik van clouddiensten.

Let er ook op dat je als afnemer zelf verantwoordelijk blijft voor de persoonsgegevens die jij hebt verkregen via jouw diensten. Als een clouddienstverlener contractueel minder beloofd dan dat noodzakelijk is om beveiliging, transparantie en rechtszekerheid te kunnen garanderen, kan je je niet verschuilen achter de standaardvoorwaarden van die clouddienstverlener. Je zult in dat geval moeten afzien van de diensten van die betreffende clouddienstverlener. Je moet dus zelf nagaan of de betreffende clouddienstverlener voldoende waarborgen biedt om Europese privacywetgeving na te leven.

Het is daarom aan te raden om voldoende contractuele waarborgen af te spreken, zodat zoveel mogelijk kan worden gegarandeerd dat aan de Europese privacyregels wordt voldaan. De betreffende opinie noemt er een aantal, waaronder:

  1. Afspraken over hoe en welke instructies de afnemer van de clouddiensten kan geven aan de clouddienstverlener (inclusief SLA en boetes);
  2. Afspraken over de specifieke en concrete organisatorische en technische beveiligingsmaatregelen waar de clouddienstverlener aan moet voldoen;
  3. Afspraken over welke clouddiensten worden geleverd en voor welke termijn.
  4. Afspraken over de omvang van, de wijze van en de doeleinden voor verwerking van persoonsgegevens;
  5. Afspraken over verwijderen en retourneren van persoonsgegevens bij beëindiging van de dienst, of wanneer de persoonsgegevens niet langer verwerkt mogen worden;
  6. Afspraken over geheimhouding van de persoonsgegevens;
  7. Afspraken over verzoeken van de betrokkene, zoals toegang, wijziging of verwijdering van persoonsgegevens;
  8. Afspraken over  het verstrekken van persoonsgegevens aan derde partijen, inclusief onderaannemers en verdeling van aansprakelijkheid;
  9. Afspraken over informeren bij datalekken;
  10. Afspraken over locaties waar de persoonsgegevens mogen worden verwerkt;
  11. Afspraken over monitoring van verplichtingen onder het contract;
  12. Afspraken over informeren bij wijziging van (functionaliteiten van) de clouddienst;
  13. Afspraken over het loggen en auditen van verwerking van persoonsgegevens, ook door onderaannemers;
  14. Afspraken over informeren over verzoeken van autoriteiten om persoonsgegevens; en
  15. Afspraken over compliance met de toepasselijke nationale en internationale juridische vereisten en standaarden;

Kortom, een diepgaand en zeer lezenswaardige opinie. Iedere afnemer van clouddiensten zal dus een risico analyse moeten doen om te beoordelen of gebruik kan en mag worden gemaakt van de clouddienst. Iedere leverancier van clouddiensten zal moeten beoordelen of hij aan deze afspraken kan voldoen, en zo nee, dit zo snel mogelijk goed in orde maken. Voor de geïnteresseerde: Lees hier de volledige opinie.



Wouter Dammers
is sinds juni 2012 juridisch adviseur bij ICTRecht. Wouter is gespecialiseerd in IT recht, open source licenties, privacy recht en auteursrechtelijke en octrooirechtelijke vraagstukken met betrekking tot software.

Dit artikel verscheen op 13 juli 2012 op de blog van ICTRecht en is met toestemming overgenomen op deze website.