Steeds meer bedrijven en organisaties maken gebruik van cloud computing en migreren applicaties en data naar de ‘cloud’. Bedrijven zijn enthousiast over cloud computing omdat veel kosten bespaard kunnen worden, het de bereikbaarheid verbetert en het overstappen naar de cloud laagdrempelig is. In het enthousiasme worden de juridische aspecten zoals privacyaspecten vaak onderbelicht.
Een van de privacyaspecten bij cloud computing is dat verantwoordelijken de controle over hun data verliezen, wat vragen oproept rondom het waarborgen van privacy als persoonsgegevens worden verwerkt buiten Europa. In traditionele outsourcingsituaties was het duidelijk waar de data zich bevond, in het geval van cloud computing is deze locatie onbekend. De gegevens kunnen zich op meerdere plaatsen bevinden. Zowel binnen als buiten Europa.
Artikel 76 Wet bescherming persoonsgegevens vereist dat persoonsgegevens slechts buiten Europa mogen worden doorgegeven indien dat land een passend beschermingsniveau biedt. ‘Passend’ wil zeggen gelijkwaardig of beter beschermd dan in Nederland. Buiten Europa voldoen weinig landen aan dit hoge beschermingsniveau wat Nederland kent. Het verwerken van persoonsgegevens door middel van cloud computing kan dus al snel betekenen dat men zich niet aan de regels houdt. Dit is helemaal het geval wanneer de cloud zich in meerdere landen buiten Europa bevindt. In dat geval is niet duidelijk welke gegevens in welk land komen te staan, wat het aanvragen van een vergunning bemoeilijkt.
Dit privacyprobleem kan worden opgelost door dit onderwerp te regelen in het contract met de cloudleverancier en simpelweg te eisen dat de persoonsgegevens binnen Europa blijven. Het regelen van dergelijke privacykwesties wordt steeds belangrijker nu handhaving van de privacyregels steeds meer op de voorgrond treedt.
Wilt u meer weten over de gevolgen van privacywetgeving bij cloud computing, het verwerken van persoonsgegevens of het onderwerp privacy in het algemeen, reageer dan op deze blog of neem contact met ons op.