Privacy in de cloud: waar sla jij je gegevens op?
Sta jij aan kop van een bedrijf, dan is de kans groot dat je klant- en personeelsgegevens in je beheer hebt. Tegenwoordig is het vaak heel praktisch om die gegevens is de cloud te stallen waardoor je ze overzichtelijk bij elkaar hebt en/of makkelijk kunt verwerken.
Er bestaan talloze clouddiensten waaruit je kan kiezen, betaalde diensten en ook gratis diensten als Google Docs. De naam van die aanbieder weet je, maar weet je ook waar hij jouw gegevens verwerkt en hoe ze zijn beschermd? Een vraag waar je niet altijd bij stilstaat als je bijvoorbeeld Google Docs gebruikt. Toch is het in het huidige landschap van cyberinvallen en datalekken niet onverstandig bewust te zijn van waar de informatie en gegevens over jouw personeel en klanten worden opgeslagen en door wie. Want de cloud klinkt misschien als een ongrijpbare locatie, in werkelijkheid kunnen die gegevens ergens ter wereld op een server staan.
Het is gelukkig niet zo dat iedereen maar lukraak clouddiensten mag aanbieden. Er is een regelgeving waar je als aanbieder moet voldoen en die is binnen de Europese Unie centraal geregeld. Voor alle lidstaten geldt een wetgeving waar landen zich minimaal aan moeten houden. De lidstaten kunnen bovendien afzonderlijk meer privacyregels invoeren. Dat verklaart waarom gegevens in het ene land beter beschermd kunnen zijn dan in het andere land. Buiten Europa kennen afzonderlijke landen een eigen regelgeving.
De wetgeving die in Nederland over privacy van persoonsgegevens gaat is de Wet Bescherming Persoonsgegevens (Wbp). In veel gevallen zal een provider echter ook rekening moeten houden met landelijk bepaalde wetgeving van landen binnen de EU en tevens daarbuiten, zoals de Verenigde Staten. Om te begrijpen hoe de wet omspringt met jouw gegevens die in verschillende landen worden gestald, is het handig om eerst het basisprincipe van de Wbp te doorgronden. De Wbp is van toepassing opgeautomatiseerde verwerking van persoonsgegevens én legt een aantal algemene verplichtingen op.
De Wet maakt onderscheid tussen drie partijen die van belang zijn bij de privacybescherming bij clouddiensten: de verantwoordelijke, de bewerker en de betrokkene. De verantwoordelijke is de aanbieder van de dienst. Voer jij het beheer over persoonsgegevens van je klanten en personeel, dan ben jij in veel gevallen de verantwoordelijke. Je klanten en personeel (de betrokkenen) verstrekken immers aan jou hun gegevens en geven toestemming voor verwerking daarvan. Jij kunt vervolgens de verwerking – bijvoorbeeld de opslag in de cloud - van de persoonsgegevens aan een ander overlaten. Dat is de bewerker. De bewerker is degene die de gegevens verwerkt.
Er is dus een verschil tussen de verantwoordelijke en de bewerker: de laatstgenoemde bepaalt niet de doelen en middelen voor de verwerking van de gegevens, maar verwerkt deze slechts in opdracht van jou, de verantwoordelijke. De bewerker moet ook aan de regels voldoen. Die worden vastgelegd in een overeenkomst tussen de verantwoordelijke en de bewerker.
Soms is het lastig om precies te zeggen wie nu welke rol vervult, maar op die complexiteit zullen we nu niet ingaan. Het kenmerk van cloud computing is dat het al snel landsgrenzen overstijgt. Dat maakt veel diensten bruikbaar, maar het zorgt er ook voor dat de bescherming van de gegevens een complexe aangelegenheid is. Want welke wet geldt nu als jij in Nederland bent gevestigd, maar de gegevens wel op een server in Amerika hebt staan? En wat als je ervoor kiest om de gegevens waar jij de verantwoordelijkheid over hebt tijdelijk even onder te brengen op een andere server in een misschien wel ander land?
Om te bepalen aan welke wet jij je als verantwoordelijke moet houden, kijkt de Wbp voornamelijk naar je vestigingsplaats. Het begrip vestiging ziet op het centrum van de economische activiteit van de onderneming. Ben je in Nederland gevestigd, dan gelden de Nederlandse regels. Het is in de regel dus alleen relevant waar de verantwoordelijke zijn hoofdactiviteiten heeft, de plek waar de gegevens later worden verwerkt doet er in beginsel niet toe bij bepaling van de juiste wetgeving.
Toch maakt het voor jou wel degelijk uit waar de gegevens waar jij de verantwoordelijkheid over hebt verwerkt. Niet elk land is immers even veilig en transparant. Daarom stelt de Wbp dat je als verantwoordelijke niet zomaar in elk willekeurig land gegevens van anderen mag opslaan en verwerven. Om als provider zaken te kunnen doen met bedrijven uit landen buiten de EU, moet je zeker stellen dat deze landen en deze bedrijven een passend beschermingsniveau van persoonsgegevens hebben. Je bent dan ook verplicht om een zogenoemde ‘Bewerkingsovereenkomst’ met de bewerker te sluiten waarin deze bescherming staat vermeld.
Binnen de EU vormt dit uiteraard geen probleem aangezien elke lidstaat zich aan minstens dezelfde richtlijnen moet houden. Wanneer je over de Europese grens zaken gaat doen, zul je kritischer moeten zijn. Een handig hulpmiddel waartoe je je kunt wenden is de ‘Witte lijst’ waarop landen staan waarvan de EU heeft bepaald dat de privacybescherming voldoende is. Het is een nuttige lijst, maar uiteindelijk ben jij degene die zorg moet dragen dat de binnen- of buitenlandse bedrijven die de gegevens verwerken, zich aan de afgesproken privacyregels houden.
Zaken doen met bedrijven in de VS
De Verenigde Staten staat niet meer op de Witte lijst sinds het als reactie op de aanslagen van 11 september 2001 de Patriot Act aannam. Deze wet verleent autoriteiten toegang tot persoonsgegevens die worden verstrekt door bedrijven die in de VS zijn gevestigd, waaronder Amerikaanse cloudleveranciers. Het is daarbij niet van belang of deze gegevens binnen of buiten de VS zijn opgeslagen. Om toch zaken te kunnen doen met bedrijven uit de VS, is de zogenoemde Safe Harbor-overeenkomst in het leven geroepen. Bedrijven die de principes van deze overeenkomst onderschrijven, hebben volgens de EU een voldoende beschermingsniveau om zaken mee te doen.
Overigens is de Safe Harbor een omstreden overeenkomst. Er is vastgesteld dat er fraude wordt gepleegd met de certificaten waardoor bedrijven die niet aan de beschermingseisen van de overeenkomst voldoen, wel degelijk zaken doen met Europese verantwoordelijke partijen. Privacy is bij cloud computing een zeer complexe aangelegenheid. Daarom zijn contracten waarin de relatie tussen verantwoordelijke, bewerker en betrokkenen zijn vastgelegd van groot belang. Een Bewerkersovereenkomst is verplicht en ook bij export van gegevens kan een overeenkomst vereist zijn.
Uiteindelijk is het voor alle partijen belangrijk dat het duidelijk is waar ieders verantwoordelijkheden en rechten liggen, vooral in het geval dat er onverhoopt een datalek ontstaat.