Nederlandse bedrijven blijven verantwoordelijk voor beveiliging van in cloud verwerkte persoonsgegevens

Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een Amerikaanse aanbieder blijven eindverantwoordelijk voor de naleving van de Nederlandse Wet bescherming persoonsgegevens (Wbp). Bij het sluiten van een overeenkomst voor clouddienstverlening zal een bedrijf of organisatie zich er dan ook van moeten vergewissen dat de toepasselijke wettelijke regels zijn afgedekt. Zo nodig moeten zij aanvullende afspraken in de overeenkomst met de Amerikaanse aanbieder van de clouddiensten opnemen. In ieder geval geldt dat voor de beveiliging van de in de cloud verwerkte persoonsgegevens. Dit blijkt uit een zienswijze van het College bescherming persoonsgegevens (CBP).

Het CBP heeft in een zienswijze antwoord gegeven op een drietal vragen van SURFmarket over cloud computing in relatie tot de bescherming van persoonsgegevens. De vragen zijn door het CBP in algemene zin beantwoord om daarmee een zo groot mogelijke groep van aanbieders van clouddiensten en hun afnemers duidelijkheid te bieden over de door SURFmarket opgeworpen privacykwesties rondom cloud computing. De zienswijze van het CBP heeft betrekking op de situatie van een in Nederland gevestigd bedrijf of organisatie die gebruik maakt van de cloudcomputingdiensten (onder meer e-mail, agendabeheer, groepsdiscussies en relatiebeheer) van een leverancier die gevestigd is in de Verenigde Staten. Kenmerkend voor cloud computing is dat de gegevensverwerking in potentie plaats kan vinden op servers die in de hele wereld kunnen staan:

‘However, cloud computing is most frequently based on a complete lack of any stable location of data within the cloud provider’s network. Data can be in one data centre at 2pm and on the other side of the world at 4pm. The cloud client is therefore rarely in a position to be able to know in real time where the data are located or stored or transferred. In this context, the traditional legal instruments providing a framework to regulate data transfers to non-EU third countries not providing adequate protection, have limitations.'

Safe harbor principles

Doorgifte van persoonsgegevens naar de VS is mogelijk als de betreffende Amerikaanse clouddienstverlener zich heeft verplicht tot naleving van de zogeheten safe harbor principles (veilige haven beginselen). De Europese Commissie heeft namelijk bepaald dat in dat geval sprake is van een ‘passend beschermingsniveau’. Het CBP benadrukt in zijn zienswijze dat hierdoor doorgifte weliswaar mogelijk is, maar dat dit echter niet garandeert dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese inclusief Nederlandse privacywetgeving. Voor naleving van de wet blijft de Nederlandse afnemer van clouddiensten verantwoordelijk, aldus het CBP.

Europese privacytoezichthouders

Clouddienstverlening is in opkomst en staat sterk in de belangstelling, onder meer vanwege de schaalvoordelen en mogelijkheden voor innovatieve dienstverlening. In juli 2012 hebben de gezamenlijke Europese privacytoezichthouders een opinie aangenomen over privacykwesties rondom cloud computing. De zienswijze van het CBP is gebaseerd op die opinie. Hierin wordt cloud computing gedefinieerd als ‘de verzamelnaam voor technologieën en diensten die gericht zijn op het gebruik van IT-applicaties, rekenkracht en opslag op afstand via internet’.

Interpretatie

In het verzoek geeft SURFmarket aan in bespreking te zijn met een Europese vestiging van een Amerikaanse leverancier over het gratis aanbieden van een aantal clouddiensten, en dat in deze besprekingen verschillen zijn gerezen over de interpretatie van de Europese Privacyrichtlijn 95/ 46/ EG en de implementatie daarvan in de Wet bescherming persoonsgegevens (Wbp). SURFmarket geeft daarbij aan dat door de verschillen in interpretatie het gevaar kan ontstaan dat de beveiliging en bescherming van persoonsgegevens van zeer vele personen tekortschiet. SURFmarket kan met haar dienstverlening potentieel namelijk honderdduizenden medewerkers en studenten voorzien van de clouddiensten. SURFmarket wijst er op dat er ook bijzondere persoonsgegevens worden verwerkt.

Vragen

SURFmarket legt het CBP kort samengevat de volgende vragen voor:

  1. Biedt de zelfcertificering door de Amerikaanse leverancier bij het safe harbor framework voldoende waarborgen voor de doorgifte van persoonsgegevens aan de Verenigde Staten (VS)?
  2. Biedt de standaard Statement on Auditing Standards no. 70 (SAS 70) voldoende zekerheid over de beveiliging van de verwerkte persoonsgegevens of zijn de standaarden International Standard for Assurance Engagements (ISAE) 3402 en Statement on Standards for Attestation Engagements (SSAE) 16 daartoe beter toegerust?
  3. Volstaat de zelfcertificering van de Amerikaanse leverancier bij het safe harbor framework om te waarborgen dat subbewerkers die door de leverancier worden ingeschakeld voldoen aan een vergelijkbaar passend beschermingsniveau?

Juridisch kader

Relevant voor de beantwoording van de gestelde vragen zijn de artikelen 13 (beveiliging), 14 (het inschakelen van bewerkers), 15 (toezicht door de verantwoordelijke) en de artikelen 76 en 77 (internationale doorgifte) van de Wbp. Het safe harbor framework, dat in twee van de hierboven gestelde vragen wordt genoemd, heeft tot doel om de doorgifte van persoonsgegevens vanuit de Europese Unie (EU) / de Europese Economische Ruimte (EER) naar de VS te vergemakkelijken zonder daarbij afbreuk te doen aan de bescherming van de persoonsgegevens. Het gaat om een vorm van zelfcertificering, waarbij organisaties zich verplichten om een aantal principes op het gebied van de gegevensbescherming na te leven.

Artikel 13 Wbp schrijft voor dat de verantwoordelijke passende technische en organisatorische maatregelen moet treffen om de persoonsgegevens die hij verwerkt te beveiligen tegen verlies en onrechtmatige verwerking. Bij verwerking door een bewerker moet de verantwoordelijke zorgen dat de bewerker de verplichtingen nakomt die ingevolge artikel 13 op de verantwoordelijke rusten.

Artikel 14 Wbp schrijft voor dat de verantwoordelijke, als hij persoonsgegevens laat verwerken door een bewerker, moet zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen treft. De verantwoordelijke moet toezien op naleving van die maatregelen.

Doorgifteverbod

Persoonsgegevens mogen in beginsel slechts naar landen buiten de EU/ EER worden doorgegeven indien dat land een ‘passend beschermingsniveau’ kent. Indien een passend beschermingsniveau ontbreekt, geldt in beginsel een doorgifteverbod en mogen persoonsgegevens alleen aan landen buiten de EU/ EER worden doorgegeven op grond van een van de in artikel 77 Wbp genoemde (wettelijke) uitzonderingen, zoals de uitdrukkelijke toestemming van een betrokkene, voor de noodzakelijke uitvoering van een overeenkomst of op grond van een vergunning van de minister van Veiligheid en Justitie. Steeds moet ook voldaan zijn aan de algemene vereisten van de Wbp. De VS worden niet aangemerkt als een land met een ‘passend beschermingsniveau’ omdat er geen algemene wetgeving voor de bescherming van persoonsgegevens bestaat. Ter bevordering van de handelsrelaties tussen de VS en de EU en zonder afbreuk te willen doen aan het beschermingsniveau van persoonsgegevens, is daarom in 2000 het VS-EU safe harbor framework totstandgekomen, dat door de Europese Commissie bij beschikking is aangemerkt als ‘passend beschermingsniveau’.

Zelfregulering

Het safe harbor framework is een vorm van zelfregulering door bedrijven. Voor zelfcertificering moet een organisatie die tot de veilige haven toe wil treden, zich aanmelden bij het ministerie van Handel van de VS en in het openbaar verklaren dat zij de veilige haven beginselen zullen naleven. Van de verantwoordelijke voor de doorgifte wordt in een cloud computing-context verwacht dat hij niet alleen verifieert of de zelfcertificering bestaat, maar ook dat hij verzoekt om bewijs waaruit blijkt dat de veilige haven beginselen door de importeur van de persoonsgegevens ook daadwerkelijk worden nageleefd. De verklaring van naleving van de safe harbor principles garandeert op zichzelf niet dat de organisatie deze in de praktijk ook daadwerkelijk naleeft. De verantwoordelijke zal zich ervan moeten vergewissen dat de zelfcertificering bestaat en dat deze in de praktijk daadwerkelijk wordt nageleefd. Ook als de safe harbor principles aantoonbaar worden nageleefd, betekent dit uitsluitend dat de doorgifte van persoonsgegevens naar de VS plaats kan vinden en niet dat de verwerking in de VS voldoet aan alle eisen uit de richtlijn 95/46/EG. Evenmin is gegarandeerd dat de verwerking in de VS voldoet aan alle eisen uit de van toepassing zijnde nationale wet waarin de richtlijn 95/46/EG is geïmplementeerd. De verantwoordelijke blijft ook bij verwerking door een bewerker, en ook bij verwerking in de cloud, verantwoordelijk voor de naleving van deze wet. Bij het sluiten van de overeenkomst zal de verantwoordelijke zich daarom ervan moeten vergewissen dat alle van toepassing zijnde wettelijke bepalingen zijn afgedekt, en zal hij eventueel aanvullende afspraken in de overeenkomst op moeten nemen. Een onderwerp dat in dit verband specifiek om aandacht vraagt is de beveiliging van de verwerkte persoonsgegevens. Naleving van de safe harbor principles biedt op zichzelf geen zekerheid dat de in de cloud verwerkte persoonsgegevens voldoende worden beveiligd, en het zal nodig zijn om daarover in de bewerkersovereenkomst aanvullende afspraken te maken.

SAS 70

De standaarden Statement on Auditing Standards no. 70 (SAS 70), de International Standard for Assurance Engagements (ISAE) 3402 en de Statement on Standards for Attestation Engagements (SSAE) bevatten richtlijnen voor het afgeven van een zogenoemde 'third party mededeling' (TPM). Een TPM is een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de maatregelen die een bewerker heeft getroffen. De TPM wordt opgesteld in opdracht van de bewerker, en wordt verstrekt aan de verantwoordelijken die gebruikmaken van diens diensten. Het doel van het verstrekken van een TPM is om de verantwoordelijken inzicht te bieden in de getroffen maatregelen, zonder dat iedere verantwoordelijke daar zelf onderzoek naar hoeft te (laten) doen. In Nederland wordt vooral ISAE 3402 toegepast. SSAE 16 is sterk gebaseerd op ISAE 3402, maar heeft op punten een uitwerking gekregen die past binnen de Amerikaanse regelgeving. Beide standaards vervangen de inmiddels vervallen SAS70.

Subbewerkers in de cloud

Bewerkers van persoonsgegevens kunnen bij de verwerking van persoonsgegevens subbewerkers inschakelen. Een clouddienstverlener die applicaties aan zijn afnemers ter beschikking stelt, kan bijvoorbeeld voor de fysieke opslag van de verwerkte persoonsgegevens gebruikmaken van de diensten van een subbewerker. Het beginsel 'verdere doorgifte' uit de veilige haven beginselen staat verwerking door een (sub-) bewerker onder bepaalde voorwaarden toe: de (sub-) bewerker moet bijvoorbeeld zelf ook de veilige haven beginselen onderschrijven. De eisen die de Wbp stelt aan de verwerking door subbewerkers gaan verder dan de eisen uit de safe harbor principles. De Wbp staat de inzet van subbewerkers uitsluitend toe als de verantwoordelijke daar in de bewerkersovereenkomst uitdrukkelijk ruimte voor biedt, en de bewerker dient contractueel verzekerd te hebben dat de subbewerker zich eveneens richt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt.

Datalekken

Tot slot wijst het CBP op het voornemen van de Nederlandse regering om de zogenoemde 'brede meldplicht' voor datalekken in het leven te roepen. Voor aanbieders van openbare elektronische communicatiediensten is een dergelijke meldplicht nu al opgenomen in artikel 11.3a van de Telecommunicatiewet (de zogenoemde 'smalle meldplicht'). De afspraken die de verantwoordelijke met de bewerker maakt over de nakoming met de meldplicht moeten schriftelijk of in een andere, gelijkwaardige vorm worden vastgelegd. De eisen uit het wetsvoorstel zijn integraal van toepassing op verwerking van persoonsgegevens in de cloud en op verwerking door subbewerkers. Het verdient aanbeveling om hier bij het afsluiten van overeenkomsten met aanbieders van clouddiensten nu reeds rekening mee te houden.

Bij het sluiten van een overeenkomst voor clouddienstverlening zal een bedrijf of organisatie zich ervan moeten vergewissen dat de toepasselijke wettelijke regels zijn afgedekt. Zo nodig moeten zij aanvullende afspraken in de overeenkomst met Amerikaanse aanbieders van de clouddiensten opnemen. In ieder geval geldt dat voor de beveiliging van de in de cloud verwerkte persoonsgegevens.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.