11 dec 2018

Privacy in de wolken

Het is steeds gebruikelijker dat werkzaamheden worden uitbesteed, ook als het om de verwerking van persoonsgegevens gaat. De ‘cloud’ levert daar allerlei mogelijkheden voor. De eisen die de AVG stelt aan het omgaan met persoonsgegevens gelden daarvoor net zo als bij andere uitbestedingen. In feite is het gebruik van diensten uit de cloud immers niet anders dan andere vormen van uitbesteding. Je moet dus letten op de betrouwbaarheid van de leverancier, regeling van aansprakelijkheid bij datalekken, etc.

Wanneer je gegevens van personen verwerkt, moet je hen altijd informeren dat dit gebeurt en aangeven of dit buiten de EU gebeurt. Dit moet altijd, ongeacht of je de verwerking van de persoonsgegevens zelf hebt verricht of dat de verwerking is uitbesteed. Maar informeren is niet genoeg: je moet met de leverancier ook een verwerkersovereenkomst sluiten waarin afspraken worden gemaakt over onder andere het gebruik en de beveiliging van de gegevens.

Alleen onder strikte voorwaarden mogen gegevens buiten de EU worden verwerkt, bijvoorbeeld op basis van een adequaatheidsbesluit van de Europese Commissie. Zo'n adequaatheidsbesluit is bijvoorbeeld genomen voor bedrijven in de Verenigde Staten die zijn aangesloten bij het Privacy Shield. Overigens is het voor publieke organisaties nog maar de vraag of het past bij hun taak om gegevens buiten de EU te verwerken. Wil je wel te maken krijgen met ander recht dan het Nederlandse?

Naast het informeren van de betrokkenen en het  sluiten van de verwerkersovereenkomst is het belangrijk dat de persoonsgegevens goed zijn beveiligd. Dat is nog meer van belang dan bij traditionele uitbesteding, omdat de data van de opdrachtgever bij applicaties uit de cloud worden verwerkt op dezelfde servers als die van andere klanten of gebruikers.

Als basis voor de beveiliging door de leverancier kan een ISO27001 certificaat dienen. Het is aan te bevelen om ook een ISAE 3402 of SOC certificaat te vragen. Bij dit laatste certificaat zie je niet alleen of procedures en dergelijke op orde zijn ("opzet en bestaan"), maar ook of deze consequent worden toegepast ("werking"). Vaak kan een (grote) cloud-leverancier informatiebeveiliging en de bewaking van systemen veel beter regelen dan een (kleine) organisatie in het publieke domein. Alleen voor het bezet houden van één bewakingswerkplek zijn immers al ca. 6 FTE nodig.

Verder zijn de volgende aspecten van belang bij de beveiliging van (cloud)applicaties, die veelal via internet bereikbaar zijn:

  • twee-factor authenticatie, dus inloggen met meer dan alleen een gebruikersnaam en wachtwoord, maar ook met een extra tijdelijke code;
  • versleuteling van de verbinding tussen de server in de cloud en de gebruiker, bijvoorbeeld met https;
  • autorisatie: de applicatie moet mogelijkheden bieden om gebruikers alleen toegang te geven tot persoonsgegevens die ze echt nodig hebben voor hun werk. Dus niet de caseload van de afdeling, maar alleen die van henzelf en misschien nog van een directe collega in verband met deeltijd.
  • logging van toegang tot de persoonsgegevens om deze door regelmatige controles te kunnen bewaken en eventuele inbreuken vast te kunnen stellen;
  • de applicatie moet de ondersteuning bieden om gegevens waarvan de bewaartermijn verstreken is, op een praktische manier te wissen;
  • de applicatie moet ondersteuning bieden wanneer mensen inzage willen hebben in hun persoonsgegevens Dat kan bijvoorbeeld met een knop waarop je alle gegevens kunt downloaden, zodat je niet het hele systeem handmatig hoeft te doorzoeken.

Tenslotte: ook bij gebruik van een cloud-applicatie blijf je als opdrachtgevende organisatie verantwoordelijk voor:

  • de aansturing van je leverancier,
  • een veilige vormgeving van je werkprocessen,
  • de bescherming van de werkplekapparatuur en
  • gedrag en scholing van gebruikers.

Een cloud-leverancier kan je veel werk uit handen nemen, maar niet het eigenaarschap en de eindverantwoordelijkheid.

Meer informatie

Voor meer informatie over de bescherming van persoonsgegevens in de cloud of een vrijblijvende afspraak kunt u contact opnemen met senior adviseur Julius Duijts. U kunt hem telefonisch bereiken via 06 - 29 52 55 31 of per e-mail naar julius.duijts@bmc.nl. U kunt ook gebruik maken van onderstaand contactformulier.

INFORMATIE & GEGEVENSMANAGEMENT BLOG

Contact

Wat zijn uw gegevens?
Waar zal het gesprek over gaan?