NL EN
  • Home»
  • Weblog »
  • Cbp publiceert zienswijze over cloud computing

Cbp publiceert zienswijze over cloud computing

Maandag publiceerde het Cbp zijn zienswijze over de privacyaspecten van het gebruik van Amerikaanse cloud computingdiensten. De zienswijze is gepubliceerd op verzoek van SURFmarket, het ICT-platform van het hoger onderwijs, onderzoek en aanbieders/uitgevers. Deze verzocht het Cbp meer duidelijkheid te geven over de toelaatbaarheid van het gebruik van Amerikaanse clouddiensten in het kader van de Wet Bescherming Persoonsgegevens en de Privacyrichtlijn 95/46/EG. De reactie van het Cbp liet enige tijd op zich wachten, omdat het college wachtte op de gerelateerde publicatie van het gezamenlijk standpunt van de Artikel 29 Werkgroep over cloud computing.

De vragen van SURFmarket zijn ingegeven door het feit dat steeds meer bedrijven gebruik maken van de cloud of dit op termijn willen doen. Dit geldt ook voor steeds meer onderwijsinstellingen. Zo maakt  inmiddels de helft van de Nederlandse universiteiten, waaronder Utrecht, Tilburg, Groningen, Twente, UvA en de open universiteit  al gebruik van Google apps. Deze ontwikkeling is onlangs versneld door de overeenkomst die SURF sloot met Google in het kader van zijn ‘Cloud First’ strategie. Via de samenwerkingsinfrastructuur SURFconext kunnen sinds juni dit jaar alle bij SURF aangesloten instellingen nu eenvoudig gebruik maken van de diensten van Google.

Het Cbp stelt voorop dat de Wet Bescherming Persoonsgegevens het doorgeven van persoonsgegevens naar een land buiten de EU/EER alleen toestaat indien dat land een ‘passend beschermingsniveau’ heeft. Dit is anders wanneer de minister van Justitie een vergunning verleent of wanneer de betrokkene zijn uitdrukkelijke toestemming geeft of als de doorgifte noodzakelijk is ter uitvoering van een overeenkomst. De Verenigde Staten hebben geen algemene wetgeving ter bescherming van persoonsgegevens en daarom  hebben zij niet een ‘passend beschermingsniveau’.  Echter, om handel en gebruik van (digitale) diensten tussen de VS en de EU mogelijk te maken heeft de Europese Commissie in 2000 een Safe Harbor Framework  ingesteld. Doorgifte van persoonsgegevens naar Amerikaanse bedrijven is toegestaan indien zij zichzelf verplichten (zelfcertificering) de Safe Harbor Principles na te leven en dit melden bij het Amerikaanse ministerie van Handel. 

Dit betekent volgens het Cbp echter niet per definitie dat de verwerking van persoonsgegevens door die bedrijven ook voldoet aan de overige normen van de Privacyrichtlijn en de Wbp. Daarom is het aan de verantwoordelijke die de gegevens doorgeeft aan het Amerikaanse bedrijf om te controleren of het betreffende bedrijf zich daadwerkelijk zowel aan de Safe Harbor Principles als de algemene normen van de Privacyrichtlijn en de Wbp houdt. Onderdeel hiervan is een adequate technische en organisatorische beveiliging van de persoonsgegevens zoals verplicht in artikel 13  en 14 WBP.  Zo moet een Nederlandse verantwoordelijke die zijn verwerking uitbesteedt aan een bewerker zich ervan verzekeren dat deze zich houdt aan de normen van de Wbp en dit ook contractueel vastleggen. Het controleren van de naleving kan aan de hand van beveiligingaudits gebaseerd op actuele beveiligingsstandaarden. Het Cbp raadt Nederlandse bedrijven tevens aan een risicoanalyse te maken voordat zij gebruik maken van clouddiensten.

Het kan voorkomen dat de bewerker in de Verenigde Staten de verwerking aan een subbewerker uitbesteedt. Dit is volgens het Cbp alleen toegestaan indien de verantwoordelijke hiervoor in de overeenkomst toestemming heeft gegeven en de subbewerker ook volgens de Safe Harbor Principles gecertificeerd is of deze contractueel onderschrijft en voldoet aan de overige normen van de Privacyrichtlijn en de Wbp.

SURF concludeert op basis van de zienswijze optimistisch dat de juiste weg is ingeslagen en stelt dat dankzij het samenwerkingsverband binnen SURF de verschillende onderzoeks- en onderwijsinstellingen veilig en verantwoord gebruik kunnen maken van clouddiensten.

 

Auteur: Arjan de Jong

BRON: Informatieprofessional.nl, Emerce.nl, SURF, SURFmarket, Cbp, Artikel 29 Werkgroep


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.