Privacy en cloud, het blijft een zorg voor velen. Waar staat mijn data opgeslagen? Heb ik er nog controle over? Hoor ik het wel als er sprake is van een datalek? Met name de grote cloudleveranciers hebben sinds kort wellicht een goed antwoord op deze vragen. Een paar weken geleden kondigde Microsoft aan dat zij als eerste grote cloudleverancier zich heeft geconformeerd aan de ISO/IEC 27018 standaard. Deze internationale standaard ziet toe op een juiste verwerking van persoonsgegevens in de cloud. Wat is dit precies voor standaard en voor wie is die bedoeld?
De ‘International Organization for Standardization’ (ISO) en de ‘International Electrotechnical Commssion’ (IEC) hebben augustus vorig jaar met ISO 27018 een nieuwe standaard vastgesteld voor privacy in de cloud. Het beoogt met name regels te stellen die zijn bedoeld voor ‘public cloud service providers’, zoals Amazon Web Services en Microsoft Azure.
Bij verwerking van persoonsgegevens is het van belang de verschillende rolverdelingen in de gaten te houden. Ook in deze standaard wordt er onderscheid gemaakt tussen de ‘betrokkene’, ‘verantwoordelijke’ en de ‘bewerker’. Uit de tekst wordt duidelijk dat de standaard met name gericht is op clouddienstverleners in de rol van bewerker. Wel is er aandacht voor de rechten die een betrokkene heeft en op welke wijze de gecertificeerde bewerker hier uitvoering aan kan geven.
ISO/IEC 27018 is voornamelijk een uitwerking van de meer algemene privacystandaard ISO 27002, aangepast aan de cloud. De inhoudelijke eisen van ISO 27018 zijn een antwoord op de steeds sterker wordende vragen van Europese privacy-toezichthouders over de verwerking van persoonsgegevens bij de grote, meestal Amerikaanse, clouddienstverleners. De belangrijkste eisen die in deze norm zijn opgenomen:
De eisen zijn een goede stap voorwaarts en dit zal het vertrouwen in een gecertificeerde clouddienstverlener vergroten. Wanneer je als klant een clouddienstverlener selecteert dan kan het zeker geen kwaad om een partij te kiezen die ISO 27018 gecertificeerd is.
Let echter wel op; dit ontslaat je als afnemer van de clouddienst niet van de verplichting tot het sluiten van een bewerkersovereenkomst. Op grond van artikel 14 Wet bescherming persoonsgegevens is de verantwoordelijke voor de verwerking van persoonsgegevens verplicht om met de bewerker in een apart en schriftelijk document afspraken te maken over de verwerking van persoonsgegevens. De onderwerpen in een bewerkersovereenkomst zullen voor een groot gedeelte overeenkomen met de eisen uit de standaard maar dit ontslaat je als verantwoordelijke niet van de plicht om zo’n overeenkomst af te sluiten. Maak als gecertificeerde clouddienstverlener je betrouwbare imago af door een bewerkersovereenkomst standaard bij je contract te leveren.
> Bekijk al onze privacyadviezen & -diensten
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.