Skip to main content

De Autoriteit Persoonsgegevens (AP) kopte afgelopen week: “Privacytoezichthouders onderzoeken gebruik clouddiensten door overheidsinstellingen”. De AP doelt hiermee op een onderzoek dat privacytoezichthouders hebben gestart door heel Europa. Door middel van dit onderzoek willen privacytoezichthouders inzichtelijk maken waar de grootste privacyproblemen zitten bij het gebruik van clouddiensten door de overheid. Naar verwachting zullen de uitkomsten van het onderzoek ook leiden tot verbetering van (het beveiligen van) de clouddiensten voor het bedrijfsleven.

Wat zijn clouddiensten precies?

De term “cloud” of “cloud computing” gebruikt men in feite voor alles wat niet lokaal op een eigen computer of op het eigen netwerk gebeurt. Daarbij kun je denken aan online mailapplicaties (bijvoorbeeld Hotmail) of een online gegevensopslag (bijvoorbeeld iCloud). Ook een programma dat via een online applicatie beschikbaar is (bijvoorbeeld Google-docs) valt hieronder. De gegevens in deze programma’s slaat men op in de cloud, in plaats van op de lokale schijf. Het gebruikmaken van clouddiensten is niet zonder (veiligheids)risico. Het is namelijk niet altijd duidelijk waar en in welk land de data uit de cloud exact worden opgeslagen. Hierdoor bestaat het risico dat bijvoorbeeld een datalek niet op tijd wordt opgemerkt. Het kan ook zo zijn dat de data worden opgeslagen in een land waar de (wettelijke) bescherming van persoonsgegevens onvoldoende is geregeld.

Verplichting tot sluiten van een verwerkersovereenkomst met de aanbieder van een clouddienst

Omdat de aanbieder van een clouddienst (vaak) persoonsgegevens verwerkt, is de AVG al snel op clouddiensten en aanbieders van clouddiensten van toepassing. De klant die persoonsgegevens in de cloud onderbrengt, is  verwerkingsverantwoordelijke ten aanzien van deze persoonsgegevens. De aanbieder van de clouddienst is de verwerker.

Op grond van de AVG moeten de verwerkingsverantwoordelijke en een verwerker een verwerkersovereenkomst sluiten. In deze verwerkersovereenkomst dienen zij een aantal afspraken op te nemen. Dit zijn onder andere afspraken met betrekking tot de verwerking van de persoonsgegevens en de toegepaste beveiligingsmaatregelen. Ook de wijze waarop zij omgaan met een eventueel datalek rekent men hieronder. Verder moeten zij in de verwerkersovereenkomst vastleggen wat er gebeurt met de persoonsgegevens in de cloud indien het contract tussen de aanbieder van de clouddienst en de klant eindigt.

Conclusie

Thuiswerken is voor veel mensen het nieuwe normaal geworden. Daarom verwacht men dat thuiswerken ook na de coronacrisis blijft en clouddiensten zullen dus steeds belangrijker worden. Het blijft van belang als bedrijf of als overheidsinstelling erop toe te zien dat men bij het gebruik van clouddiensten de privacywetgeving in acht neemt. Ook moet een weloverwogen keuze worden gemaakt bij het kiezen van een cloudprovider. Ondertussen bestaat de hoop dat de uitkomsten van het onderzoek van de Europese privacytoezichthouders eind 2022 meer duidelijkheid gaan scheppen in het nog veelal grijze gebied rondom clouddiensten en privacywetgeving.

Bent u benieuwd of u op de juiste manier gebruik maakt van clouddiensten en/of heeft u vragen over clouddiensten of de verwerkersovereenkomst met een clouddienst, neem dan contact op met een van de specialisten van Team Privacy. Wij helpen u graag verder!

 

Februari 2022