Startup tips! (deel 3: Privacy & Security)

Een goed begin is het halve werk! Maar wat is goed en wat is fout? Dat is wel een hele absolute levensvraag om op een doordeweekse dag in een blog te beantwoorden. Dit ben ik ook niet van plan maar voor beginnende clouddienstverleners heb ik wel een paar goede tips. De tips zijn bedoeld om vragen van klanten ten aanzien van de continuïteit en veiligheid te kunnen beantwoorden. Want naarmate je als clouddienstverlener grotere klanten krijgt zullen vragen als ‘Wat gebeurt er met de dienst als jij in financiële problemen komt?’ en ‘Waar wordt mijn data opgeslagen en hoe veilig is dat?’. Om deze vragen te kunnen beantwoorden is het zaak vroeg maatregelen te nemen.

In deze blogserie behandel ik verschillende onderwerpen waar een beginnende clouddienstverlener aandacht aan zou moeten besteden. De onderwerpen zijn (i) keuze rechtsvorm, (ii) Intellectueel eigendom (iii) privacy en security en (iv) contracten en algemene voorwaarden. Over deze onderwerpen geef ik aan wat de risico’s zijn en hoe die te beperken zijn. Daarbij focus ik niet alleen op de juridische kant van de zaak maar kijk ik ook naar praktische tips.

Het is vaak onmogelijk om alles in één keer goed te regelen dus er wordt per onderwerp onderscheid gemaakt in een beginfase en een latere fase waarin een startup zich kan bevinden.

3. Privacy & Security

Bijna elke clouddienstverlener verwerkt persoonsgegevens en andere data. Dit levert grote verantwoordelijkheden op. Als dienstverlener ben je niet alleen wettelijk verplicht bepaalde zaken te regelen, je klanten zullen dit ook verwachten en soms eisen. Het is daarom aan te raden vanaf het begin van je onderneming de technische, organisatorische en juridische beschermingsmaatregelen in kaart te brengen.

Beginfase

Het hebben van een technical factsheet waarin de verschillende datastromen zijn omschreven helpt je aan de ene kant lastige vragen van klanten te beantwoorden en aan de andere kant geeft het een overzicht van de mogelijke risico’s. Zorg er voor dat je weet wat voor data je opslaat, waar dat verwerkt wordt en wie daar toegang tot heeft.
Zeker wanneer men zaken doet met consumenten is een duidelijke privacy policy een absolute must! Dit is een document waarin staat omschreven hoe er omgegaan wordt met de persoonsgegevens die verwerkt worden. Naast een omschrijving van de doeleinden en het soort gegevens die verwerkt worden geeft een goede privacy policy ook aan op welke manier de klant recht heeft op inzage en correctie van de gegevens. Met een goede privacy policy draagt je zorg voor transparantie naar je klanten en dat is de eerste stap naar vertrouwen.

Fase 2

Al naar gelang de hoeveelheid klanten groter wordt of het soort data gevoeliger, is het doen van een uitgebreide security-scan een verstandige keuze. Een security scan brengt de belangrijkste privacy- en security-vraagstukken voor jouw onderneming en clouddienst in kaart. Bij een goede scan wordt er gekeken naar de technische, organisatorische en juridische kant van de zaak. Kies een onafhankelijke en deskundige professional om de scan uit te voeren. Op die manier kan de uitkomst van de scan als een leidraad fungeren voor de verdere bedrijfsvoering.

Als clouddienstverlener maak je waarschijnlijk gebruik van een derde partij die de hosting voor zijn rekening neemt. De data die doormiddel van de clouddienst wordt verwerkt loopt dan ook via de systemen van die hostingpartij. De Wet bescherming persoonsgegevens vereist in zo’n situatie dat er een bewerkersovereenkomst wordt gesloten met de hoster. Een bewerkersovereenkomst beschrijft met name de beveiligingsmaatregelen die getroffen zijn. De wet eist dat die maatregelen “passend” zijn, “gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.”


Dit artikel verscheen op 1 juli 2014 op cloudrecht.nl en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Hugo Atzema

Hugo Atzema is juridisch adviseur bij ICTRecht. In 2012 heeft hij aan de Rijksuniversiteit Groningen de master Recht & ICT (Informaticarecht) afgerond. Tijdens zijn studie heeft hij ook ervaring in het buitenland opgedaan aan de University of East Anglia in Norwich (GB). Naast interesse in cookies heeft Hugo een brede interesse op het gebied van IT en recht. Hij houdt zich binnen ICTRecht met name bezig met Cloudrecht en start-ups.