ISO 27018, de nieuwe standaard voor privacy in de cloud?

Privacy en cloud, het blijft een zorg voor velen. Waar staat mijn data opgeslagen? Heb ik er nog controle over? Hoor ik het wel als er sprake is van een datalek? Met name de grote cloudleveranciers hebben sinds kort wellicht een goed antwoord op deze vragen. Een paar weken geleden kondigde Microsoft aan dat zij als eerste grote cloudleverancier zich heeft geconformeerd aan de ISO/IEC 27018 standaard. Deze internationale standaard ziet toe op een juiste verwerking van persoonsgegevens in de cloud. Wat is dit precies voor standaard en voor wie is die bedoeld?

De ‘International Organization for Standardization’ (ISO) en de ‘International Electrotechnical Commssion’ (IEC) hebben augustus vorig jaar met ISO 27018 een nieuwe standaard vastgesteld voor privacy in de cloud. Het beoogt met name regels te stellen die zijn bedoeld voor ‘public cloud service providers’,  zoals Amazon Web Services en Microsoft Azure.

Bij verwerking van persoonsgegevens is het van belang de verschillende rolverdelingen in de gaten te houden. Ook in deze standaard wordt er onderscheid gemaakt tussen de ‘betrokkene’, ‘verantwoordelijke’ en de ‘bewerker’. Uit de tekst wordt duidelijk dat de standaard met name gericht is op clouddienstverleners in de rol van bewerker. Wel is er aandacht voor de rechten die een betrokkene heeft en op welke wijze de gecertificeerde bewerker hier uitvoering aan kan geven.

ISO/IEC 27018 is voornamelijk een uitwerking van de meer algemene privacystandaard ISO 27002, aangepast aan de cloud. De inhoudelijke eisen van ISO 27018 zijn een antwoord op de steeds sterker wordende vragen van Europese privacy-toezichthouders over de verwerking van persoonsgegevens bij de grote, meestal Amerikaanse, clouddienstverleners. De belangrijkste eisen die in deze norm zijn opgenomen:

  • Toestemming; er mogen alleen persoonsgegevens worden verwerkt indien de klant hier opdracht voor heeft gegeven, met name gebruik van persoonsgegevens voor marketingdoeleinden is alleen toegestaan na expliciete toestemming.
  • Beheer: klanten moeten te allen tijde de mogelijkheid hebben om het beheer te voeren over hun persoonsgegevens.
  • Transparantie: clouddienstverleners moeten hun klanten duidelijk informeren over waar de persoonsgegevens staan opgeslagen. Indien er gebruik gemaakt wordt van onderaannemers dan dient dit bekend gemaakt te worden en zal de clouddienstverlener hier heldere afspraken mee moeten maken over de verwerking van persoonsgegevens.
  • Communicatie: in het geval van een datalek dient de klant op een juiste wijze op de hoogte gehouden te worden en moet er ondersteuning plaatsvinden bij de communicatie naar de betrokkenen toe.
  • Personeel: iedere medewerker van de clouddienstverlener die toegang heeft tot de persoonsgegevens zal een geheimhoudingsverklaring ondertekenen.
  • Overheid: indien er overheidsinstanties zoals politie en justitie toegang heeft verkregen tot de persoonsgegevens van klanten dan is de clouddienstverlener verplicht dit te melden.

De eisen zijn een goede stap voorwaarts en dit zal het vertrouwen in een gecertificeerde clouddienstverlener vergroten. Wanneer je als klant een clouddienstverlener selecteert dan kan het zeker geen kwaad om een partij te kiezen die ISO 27018 gecertificeerd is.

Let echter wel op; dit ontslaat je als afnemer van de clouddienst niet van de verplichting tot het sluiten van een bewerkersovereenkomst. Op grond van artikel 14 Wet bescherming persoonsgegevens is de verantwoordelijke voor de verwerking van persoonsgegevens verplicht om met de bewerker in een apart en schriftelijk document afspraken te maken over de verwerking van persoonsgegevens. De onderwerpen in een bewerkersovereenkomst zullen voor een groot gedeelte overeenkomen met de eisen uit de standaard maar dit ontslaat je als verantwoordelijke niet van de plicht om zo’n overeenkomst af te sluiten. Maak als gecertificeerde clouddienstverlener je betrouwbare imago af door een bewerkersovereenkomst standaard bij je contract te leveren.

> Bekijk al onze privacyadviezen & -diensten

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de privacytrainingen van ICTRecht Academy krijgt u praktische antwoorden op deze en andere vragen.

 

Terug naar overzicht