‘Artikel 29-werkgroep’ over cloud computing

De Article 29 Data Protection Working Party (hierna: “Artikel 29-werkgroep”), het advies- en overlegorgaan van Europese privacytoezichthouders, heeft op 1 juli 2012 een opinie inzake cloud computing gepubliceerd: ‘Opinion 05/2012′. De opinie beschrijft uitvoerig het op cloud computing toepasselijke juridische kader en komt bovendien met een aantal aanbevelingen voor het heden en de toekomst.

De opinie geeft aan dat, hoewel de voordelen van cloud computing algemeen aanvaard zijn, het inzetten van cloud computing op grote schaal een aantal risico’s voor de bescherming van persoonsgegevens met zich mee kan brengen. Het gaat daarbij voornamelijk om een gebrek aan controle over de persoonsgegevens alsmede een gebrek aan kennis ten aanzien van de wijze waarop, hoe en door wie de persoonsgegevens worden verwerkt. Dit gebrek aan kennis heeft bovendien nadelige gevolgen voor de personen wiens persoonsgegevens worden verwerkt. Het is voor hen niet altijd duidelijk wie de gegevens verwerkt, voor welk doel dit gebeurt en hoe ze hun rechten ten aanzien van de verwerking van hun persoonsgegevens kunnen uitoefenen. Deze risico’s en de daaraan relaterende onderwerpen komen uitgebreid aan bod in de opinie.

Een van de belangrijkste conclusies van de Artikel 29-werkgroep is dat afnemers van cloud computing als eerste stap een uitgebreide en zorgvuldige risicoanalyse moeten uitvoeren. De aanbieders van cloud diensten moeten op hun beurt alle noodzakelijk informatie verschaffen die nodig is voor de afnemers om de voordelen en nadelen in te schatten. Beveiliging, transparantie en juridische zekerheid moeten een belangrijke rol spelen bij het aanbieden van cloud diensten.

Na de analyse komt de Artikel 29-werkgroep met een aantal aanbevelingen. Allereerst adviseert de Artikel 29-werkgroep de afnemer van cloud diensten om een aanbieder te selecteren die kan garanderen dat hij in overeenstemming handelt met de Europese regels inzake de bescherming van persoonsgegevens.

Verder adviseert de Artikel 29-werkgroep de afnemer van cloud diensten om een aantal contractuele bepalingen op te nemen in zijn overeenkomst met de aanbieder.  De bepalingen hebben onder meer betrekking op garanties ten aanzien van de te treffen technische en organisatorische maatregelen, toegang tot persoonsgegevens, verstrekking van persoonsgegevens aan derden, doorgifte van persoonsgegevens naar derde landen en verplichtingen tot het toestaan van audits.

De Artikel 29-werkgtroep besluit haar opinie met de vaststelling dat de door haar geopperde richtlijnen en aanbevelingen niet alle issues ten aanzien van cloud computing oplossen. Ook in de toekomst zal een aantal problemen moeten worden getackeld. Zo geeft Artikel 29-werkgroep aan dat er een betere balans moet komen tussen de verplichtingen van de  afnemer van cloud diensten enerzijds en die van de aanbieder anderzijds. Ook zou het voor aanbieders van persoonsgegevens in de EU niet langer verplicht  moeten zijn om persoonsgegevens te verstrekken aan buitenlandse inlichtingendiensten. Tot slot dient er extra regelgeving te komen voor het opslaan van gevoelige persoonsgegevens in de cloud.

Lees hier de volledige opinie 05/2012.Thomas van Essen
is advocaat bij SOLV. Hij is specialist op het gebied van IT/ICT alsmede privacy en gaming. Hij is al sinds de oprichting verbonden aan het kantoor en kreeg tussendoor een kijkje in de keuken bij Skype.

Dit artikel verscheen ook op het blog van SOLV en is met toestemming overgenomen op deze website.

About the author

Avatar

Thomas van Essen is advocaat bij SOLV. Hij is specialist op het gebied van IT/ICT alsmede privacy en gaming. Hij is al sinds de oprichting verbonden aan het kantoor en kreeg tussendoor een kijkje in de keuken bij Skype.