Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

ISO 27018, de nieuwe standaard voor privacy in de cloud?

Juridisch Product

Elke organisatie verwerkt persoonsgegevens, of dat nu gegevens van medewerkers of van klanten zijn. Het verwerken van persoonsgegevens kan vele privacygerelateerde vragen met zich meebrengen, al helemaal nu de Europese privacyverordening, de Algemene Verordening Gegevensbescherming (AVG of GDPR) in werking is getreden.

Privacy en cloud, het blijft een zorg voor velen. Waar staat mijn data opgeslagen? Heb ik er nog controle over? Hoor ik het wel als er sprake is van een datalek? Met name de grote cloudleveranciers hebben sinds kort wellicht een goed antwoord op deze vragen. Een paar weken geleden kondigde Microsoft aan dat zij als eerste grote cloudleverancier zich heeft geconformeerd aan de ISO/IEC 27018 standaard. Deze internationale standaard ziet toe op een juiste verwerking van persoonsgegevens in de cloud. Wat is dit precies voor standaard en voor wie is die bedoeld?

De ‘International Organization for Standardization’ (ISO) en de ‘International Electrotechnical Commssion’ (IEC) hebben augustus vorig jaar met ISO 27018 een nieuwe standaard vastgesteld voor privacy in de cloud. Het beoogt met name regels te stellen die zijn bedoeld voor ‘public cloud service providers’,  zoals Amazon Web Services en Microsoft Azure.

Bij verwerking van persoonsgegevens is het van belang de verschillende rolverdelingen in de gaten te houden. Ook in deze standaard wordt er onderscheid gemaakt tussen de ‘betrokkene’, ‘verantwoordelijke’ en de ‘bewerker’. Uit de tekst wordt duidelijk dat de standaard met name gericht is op clouddienstverleners in de rol van bewerker. Wel is er aandacht voor de rechten die een betrokkene heeft en op welke wijze de gecertificeerde bewerker hier uitvoering aan kan geven.

ISO/IEC 27018 is voornamelijk een uitwerking van de meer algemene privacystandaard ISO 27002, aangepast aan de cloud. De inhoudelijke eisen van ISO 27018 zijn een antwoord op de steeds sterker wordende vragen van Europese privacy-toezichthouders over de verwerking van persoonsgegevens bij de grote, meestal Amerikaanse, clouddienstverleners. De belangrijkste eisen die in deze norm zijn opgenomen:

  • Toestemming; er mogen alleen persoonsgegevens worden verwerkt indien de klant hier opdracht voor heeft gegeven, met name gebruik van persoonsgegevens voor marketingdoeleinden is alleen toegestaan na expliciete toestemming.
  • Beheer: klanten moeten te allen tijde de mogelijkheid hebben om het beheer te voeren over hun persoonsgegevens.
  • Transparantie: clouddienstverleners moeten hun klanten duidelijk informeren over waar de persoonsgegevens staan opgeslagen. Indien er gebruik gemaakt wordt van onderaannemers dan dient dit bekend gemaakt te worden en zal de clouddienstverlener hier heldere afspraken mee moeten maken over de verwerking van persoonsgegevens.
  • Communicatie: in het geval van een datalek dient de klant op een juiste wijze op de hoogte gehouden te worden en moet er ondersteuning plaatsvinden bij de communicatie naar de betrokkenen toe.
  • Personeel: iedere medewerker van de clouddienstverlener die toegang heeft tot de persoonsgegevens zal een geheimhoudingsverklaring ondertekenen.
  • Overheid: indien er overheidsinstanties zoals politie en justitie toegang heeft verkregen tot de persoonsgegevens van klanten dan is de clouddienstverlener verplicht dit te melden.

De eisen zijn een goede stap voorwaarts en dit zal het vertrouwen in een gecertificeerde clouddienstverlener vergroten. Wanneer je als klant een clouddienstverlener selecteert dan kan het zeker geen kwaad om een partij te kiezen die ISO 27018 gecertificeerd is.

Let echter wel op; dit ontslaat je als afnemer van de clouddienst niet van de verplichting tot het sluiten van een bewerkersovereenkomst. Op grond van artikel 14 Wet bescherming persoonsgegevens is de verantwoordelijke voor de verwerking van persoonsgegevens verplicht om met de bewerker in een apart en schriftelijk document afspraken te maken over de verwerking van persoonsgegevens. De onderwerpen in een bewerkersovereenkomst zullen voor een groot gedeelte overeenkomen met de eisen uit de standaard maar dit ontslaat je als verantwoordelijke niet van de plicht om zo’n overeenkomst af te sluiten. Maak als gecertificeerde clouddienstverlener je betrouwbare imago af door een bewerkersovereenkomst standaard bij je contract te leveren.

> Bekijk al onze privacyadviezen & -diensten

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de privacytrainingen van ICTRecht Academy krijgt u praktische antwoorden op deze en andere vragen.

 

hugoatzema

Voormalig medewerker ICTRecht

Voormalig medewerker ICTRecht