Het afnemen of leveren van clouddiensten is niet zonder risico’s. Belangrijke punten om aandacht aan te besteden bij het afnemen of leveren van een clouddienst zijn: beschikbaarheid, continuïteit, privacy en beveiliging. In voorgaande blogs zijn we al kort ingegaan op beschikbaarheid en continuïteit. In deze blog zal ik ingaan op een aantal privacy-aspecten waarmee zowel afnemers als leveranciers van clouddiensten rekening dienen te houden. In een toekomstige blog zal ingegaan worden op beveiliging in de cloud.
Uiteraard is privacy van belang voor de afnemers van clouddiensten. Afnemers willen niet dat zomaar allerlei gegevens verzameld worden en ze willen al helemaal niet dat verzamelde gegevens ongevraagd met onbekende derden worden gedeeld.
Clouddienstverleners hebben ook belang bij het goed regelen van de privacyrechtelijke aspecten van clouddiensten. Vanaf 2016 verandert het College bescherming persoonsgegevens (Cbp) in de Autoriteit Persoonsgegevens en krijgt zij de mogelijkheid om hogere boetes op te leggen wanneer de Wet bescherming persoonsgegevens (Wbp) overtreden wordt. Dergelijke boetes kunnen oplopen tot € 810.000 of 10% van de jaaromzet (binnen Nederland) van de clouddienstverlener.
Genoeg redenen dus om rekening te houden met privacy, maar wat moet er nou precies geregeld worden omtrent privacy?
Een belangrijk punt te waaraan gedacht moet worden is het doen van een melding aan het Cbp (red: nu Autoriteit Persoonsgegevens). Wanneer een clouddienstverlener namelijk persoonsgegevens verwerkt, is zij in beginsel verplicht om hiervan melding te doen aan het Cbp. Er zijn wat uitzonderingen op deze regel. Zo hoeft alleen de verantwoordelijke in de zin van de Wbp een dergelijke melding te doen en kan de melding achterwege blijven wanneer een onderneming bijvoorbeeld enkel haar eigen personeelsadministratie verwerkt.
Wanneer een onderneming het doel en de middelen vaststelt waarmee persoonsgegevens zullen worden verwerkt, dan is zij een “verantwoordelijke” in de zin van de Wbp. Een voorbeeld hiervan is een webwinkel die de persoonsgegevens opslaat van haar klanten. Een verantwoordelijke is verplicht om de personen, van wie de gegevens verzameld worden, te informeren over de verwerking van hun persoonsgegevens. Aan de hand van de privacyverklaring kunnen personen een geïnformeerd besluit nemen om wel of niet gebruik te maken van bijvoorbeeld een webwinkel of een clouddienst. Wat moet er precies in een privacyverklaring? Het antwoord daarop is hier te vinden. Wilt u eenvoudig een privacyverklaring opstellen, dan kan dit met onze generator.
Een ander belangrijk punt waaraan gedacht moet worden in het kader van privacy, is het sluiten van een bewerkersovereenkomst. Wanneer bijvoorbeeld een webwinkel de door haar verzamelde gegevens van klanten opslaat bij een clouddienstverlener, dan zijn partijen verplicht een bewerkersovereenkomst te sluiten. In terminologie van de Wbp is de webwinkel in het voorbeeld de “verantwoordelijke” en de clouddienstverlener de “bewerker”.
Een belangrijk onderwerp dat terugkomt in een bewerkersovereenkomst is beveiliging, dit zal in een toekomstige blog aan bod komen. Meer weten over bewerkersovereenkomsten? Lees het hier en hier! Wilt u eenvoudig zelf een bewerkersovereenkomst opstellen, dan kan dit met onze generator.
Vanaf 1 januari 2016 moeten ondernemingen die persoonsgegevens verwerken een melding doen aan de Autoriteit Persoonsgegevens, indien er sprake is van een inbreuk op de beveiliging. Wanneer een inbreuk op de beveiliging nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van personen op wie de gegevens betrekking hebben, dan moet de voornoemde melding ook gedaan worden aan die personen. Er zijn situaties waarin dergelijke meldingen achterwege gelaten kan worden, maar daarvan zal niet vaak sprake zijn. Daarnaast is het altijd verstandig om de Autoriteit Persoonsgegevens in kennis te stellen, aangezien boetes hoog kunnen uitvallen en de meldingen niet openbaar worden gemaakt. Lees meer over de plicht om datalekken te melden in onze factsheet.
In Europa wordt er gewerkt aan een privacyverordening en het is verstandig om nu alvast rekening te houden met deze verordening. De privacyverordening stelt het zogenaamde privacy by design and by default verplicht. Dit houdt in dat ontwikkelaars van clouddiensten, gedurende het gehele ontwikkelingsproces, al rekening dienen te houden met privacy. Daarnaast moeten de ‘standaard’ instellingen van een clouddienst zo privacy vriendelijk mogelijk zijn. Bovendien moet ervoor gezorgd worden dat gebruikers een mogelijkheid hebben om hun verwerkte persoonsgegevens in te kunnen zien en te corrigeren. Lees de belangrijkste punten uit de nieuwe privacyverordening.
Elke onderneming is natuurlijk verschillend, waardoor bij het regelen van privacy maatwerk vaak nodig is.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.