De Europese privacytoezichthouders hebben recent een lijst opgesteld met aanbevelingen voor overheidsinstellingen die persoonsgegevens in de cloud opslaan. De lijst bevat dertien aanbevelingen. Met de lijst wil men vooral de verantwoordelijkheid voor de veilige bewaring van persoonsgegevens benadrukken. Bij MKBrecht.nl willen we dan weer benadrukken dat ook ondernemingen op een aantal dingen moeten letten als ze persoonsgegevens in de cloud bewaren.
Voordelen en risico’s van cloud computing
Cloud computing biedt veel voordelen en veel bedrijven bewaren dan ook gegevens in de cloud. Het kan soms gaan om erg gevoelige persoonsgegevens. Dit is bijvoorbeeld het geval als een zorgaanbieder gezondheidsgegevens in de cloud opslaat. Het is niet nodig om de toestemming van de betrokkenen te verkrijgen om de persoonsgegevens in de cloud op te slaan. Maar het is wel belangrijk om bewust te zijn van de risico’s die het met zich meebrengt. Gegevens kunnen bijvoorbeeld lekken en dat kan verregaande gevolgen hebben.
Kritisch zijn voor de clouddienstverlener
Net zoals de overheid dienen ook organisaties goed de privacyrisico’s in kaart te brengen voordat ze met een clouddienst in zee gaan. Het is belangrijk dat de cloudaanbieder duidelijk aangeeft welke beveiligingsmaatregelen er worden getroffen, hoe men omgaat met datalekken en dergelijke meer. Vervolgens dien je na te gaan of deze mate van beveiliging wel afdoende is voor de persoonsgegevens die je in de cloud wil plaatsen. Wees in elk geval kritisch voor de gekozen cloudprovider, de technische maatregelen en de organisatorische maatregelen.
Opletten met standaardcontracten
Veel clouddiensten bieden standaardcontracten aan. Niet altijd zijn de afspraken die in het standaardcontract zijn opgenomen voldoende. Zo bevatten standaardcontracten soms geen afspraken over de toegang tot de persoonsgegevens als de provider failliet gaat of als de samenwerking wordt stopgezet. Als je twijfelt over de bepalingen van een (standaard)contract raden we aan om een ContractCheck™ te laten uitvoeren. Wij controleren het contract dan op de geldende wetgeving en benoemen eventuele risico’s waarmee je te maken kan krijgen.
Strenge regels bij cloudopslag buiten de EU
Wanneer de persoonsgegevens worden opgeslagen bij een clouddienstverlener buiten de EU, gelden er extra eisen. Het is niet per se verboden om een beroep te doen op een clouddienstverlener die buiten de EU is gevestigd, maar het is wel belangrijk dat dezelfde mate van bescherming wordt gegarandeerd. Je dient zelf na te gaan of de bescherming ten minste op hetzelfde niveau ligt als binnen de EU. Vaak is dat niet het geval. Bij het verwerken van persoonsgegevens buiten de EU kunnen er heel specifieke risico’s optreden. In sommige landen heeft de overheid bijvoorbeeld de wettelijke bevoegdheid om toegang te krijgen tot de servers en om mee te kijken. In die landen bewaar je natuurlijk maar liever geen persoonsgegevens.
Of persoonsgegevens nu lokaal worden bewaard of in de cloud, binnen de EU of buiten de EU, het is altijd belangrijk dat er technologische en organisatorische beveiligingsmaatregelen worden getroffen. Dat is in de eerste plaats jouw verantwoordelijkheid. Heb je hier nog vragen over? Neem dan contact op met een van onze privacyjuristen.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44
