ORDINA BLOGT

Cloud computing en wet- en regelgeving

Als je als bedrijf start met cloud computing is wet- en regelgeving een van de voornaamste bronnen om duidelijk te krijgen wat je wel en niet in de cloud mag opslaan (Gastblog: Phylicia Dest).

  • Wouter-Bas van der Vegt
  • 29 juli 2013

Cloud computing is een ICT-dienstverlening waarbij bedrijven hun gegevens buiten het eigen netwerk kunnen opslaan en bewerken. Steeds meer ondernemingen nemen een clouddienst af omdat hun eigen ICT-omgeving beperkte ruimte voor de grote hoeveelheid aan gegevens biedt. Maar clouddiensten brengen niet alleen voordelen met zich mee. Potentieel kunnen er ook problemen op het gebied van privacy optreden.

De problemen met cloud en privacy ontstaan vaak omdat het voor de cloudafnemer niet duidelijk is aan welke wettelijke eisen zij moeten voldoen. De generieke Europese privacyregelgeving 95/46/EG is in Nederland geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP). Naast deze generieke wetgeving is vaak per branche nog aanvullende wet- en regelgeving van toepassing.

De WBP stelt eisen aan de verwerking van  persoonsgegeven. Veel vormen van informatie bevatten persoonsgegevens. Door deze gegevens zonder meer in de cloud te plaatsen, kunnen er privacyschendingen ontstaan.

WBP en cloud

Bij een cloudafname kan het handhaven van de WBP privacyrechtelijke problemen met zich mee brengen, doordat:

  • De fysieke controle verdwijnt op systemen. Hiermee verdwijnt ook het toezicht op controle van vertrouwelijke informatie en de naleving van de wet.
  • De clouddienst blijft in handen van de derde partij. Hierdoor is het erg lastig om compliant aan wet- en regelgeving te zijn;
  • De data staat niet meer op één locatie, maar vaak wereldwijd. Deze opgeslagen informatie moet wel volgens de wet traceerbaar blijven;
  • Er zijn veel cloudaanbieders gevestigd in, of opereren vanuit, Azië en Amerika onder privacyregelgeving die in strijd is met de onze.

Wijzigingen Europese privacyregelgeving

De Europese Commissie heeft een voorstel gedaan waarin de huidige privacyregelgeving wordt aangescherpt. De behandeling van het voorstel heeft als doel om deze in 2016 binnen de EU geïmplementeerd te hebben. De belangrijkste voorgestelde wijzigingen zijn:

  • De EU-regels worden ook van toepassing bij bedrijven die op de markt van de EU actief zijn en hun diensten aan burgers van de EU aanbieden;
  • De algemene meldplicht voor bedrijven voor de verwerking van persoonsgegevens zal verdwijnen. In plaats daarvan wordt het verplicht om datalekken te melden aan zowel de betrokkene als aan de nationale toezichthouder;
  • Bij gegevensverwerking wordt het vereist dat de betrokkene op de hoogte is van de verwerking en toestemming heeft gegeven. Hiervoor moet er een mogelijkheid zijn om burgers gegevens op het internet te laten wissen indien er geen gegronde redenen zijn om ze te bewaren.

De bovenstaande wetswijzigingen hebben voor bedrijven en organisaties die gegevensverwerking uitvoeren een behoorlijke impact. Dit komt mede door de voorgestelde datalek-meldplicht aan de betrokkene.

Boetebevoegdheid CBP

Rond 2016 krijgen toezichthouders, zoals het CBP,een krachtigere handhavingbevoegdheid, waaronder een boetebevoegdheid. Deze boetes kunnen oplopen tot 1 miljoen euro of 2% van de totale jaarlijkse wereldwijde omzet van een bedrijf. Dit kan voor een bedrijf fataal zijn, aangezien de boete en de bijbehorende vermeldingen tot enorme imagoschade kunnen leiden.

Schending voorkomen

Om er zeker van te zijn dat u de juiste privacymaatregelen heeft getroffen, is het verstandig om een specialistisch team in te schakelen. Zij kunnen nagaan of de verwerking van gegevens en die van uw klant niet leidt tot een privacyschending als u een clouddienst gaat afnemen. Veilig werken in de cloud, een service van Ordina, biedt dan een mogelijkheid.

Voor meer informatie verwijs ik u graag door naar Veilig werken in de cloud.