Cloud computing met een Amerikaanse leverancier: de risico’s

Het College bescherming persoonsgegevens (CBP) heeft zijn risicoanalyse uitgebracht aangaande de interpretatie en de toepassing van de Europese Privacyrichtlijn en de implementatie daarvan in de Wet bescherming persoonsgegevens (Wbp). Het gaat om overeenkomsten met betrekking tot cloud computing diensten afkomstig van Amerikaanse leveranciers. De belangrijkste aandachtspunten voor u op een rij.

Het advies behandelt een drietal thema’s: doorgifte van persoonsgegevens in de cloud, beveiliging van persoonsgegevens in de cloud en verwerking door sub-bewerkers in de cloud.

Doorgifte van persoonsgegevens in de cloud
Om de vraag te kunnen beantwoorden of zelfcertificering door Amerikaanse leveranciers (in casu bewerker in de zin van de Wbp) bij het Safe Harbor Framework voldoende waarborgen biedt voor doorgifte van persoonsgegevens aan de VS, reikt het CBP de volgende aandachtspunten aan:

• Safe Harbor garandeert op zichzelf niet dat de organisatie die hierbij is aangesloten de Safe Harbor principes ook daadwerkelijk naleeft. De verantwoordelijke (degene die het doel en de middelen van de gegevensverwerking vaststelt) zal zich ervan moeten vergewissen dat de zelfcertificering door bewerker bestaat en dat deze in de praktijk wordt nageleefd;
• De verantwoordelijke blijft bij verwerking door een bewerker en ook bij verwerking in de cloud, verantwoordelijk voor de naleving van de Wbp en dus aan alle eisen uit de Europese Privacyrichtlijn;
•  Naleving van Safe Harbor principes biedt op zichzelf geen zekerheid dat de in de cloud verwerkte persoonsgegevens voldoende worden beveiligd.

CBP adviseert de verantwoordelijke om in de bewerkersovereenkomst aanvullende afspraken te maken en zich ervan te vergewissen dat alle van toepassing zijnde wettelijke bepalingen zijn afgedekt.

Beveiliging van persoonsgegevens in de cloud
Wbp schrijft onder meer voor dat de verantwoordelijke passende technische en organisatorische maatregelen moet treffen om de persoonsgegevens die hij verwerkt te beveiligen tegen verlies en onrechtmatige verwerking. Audit standaarden (zoals SAS 70, ISAE 3402 en SSAE 16), zogenaamde ‘third party mededelingen’ (TPM), kunnen voor de verantwoordelijke een middel zijn om vast te stellen of de bewerker de noodzakelijke organisatorische en technische beveiligingsmaatregelen daadwerkelijk getroffen heeft. Daarbij moet echter volgens het CBP rekening worden gehouden met het volgende:

• De standaard SAS 70 wordt niet meer gebruikt. De standaarden ISAE 3402 en SSAE 16, die SAS 70 vervangen, zijn onderling min of meer vergelijkbaar. Beide standaarden zien toe op de wijze waarop de onafhankelijke externe deskundige zijn onderzoek uitvoert en daarover rapporteert, en niet op de maatregelen die worden beoordeeld;
• Voor de verantwoordelijke is het vooral van belang welke maatregelen in de TPM worden betrokken en of een uitspraak wordt gedaan over de aanwezigheid van de beschreven maatregelen op een bepaalde datum (type 1) of gedurende een bepaalde periode (type 2). Leemtes in de TPM, bijvoorbeeld waar het gaat om technische beveiligingsmaatregelen die specifiek zijn voor verwerking in de cloud, zullen via aanvullende rapportages moeten worden ingevuld.

Verwerking door “sub-bewerkers” in de cloud
Zelfcertificering bij het Safe Harbor Framework volstaat volgens het CBP niet om te kunnen waarborgen dat zogenaamde sub-bewerkers[1] voldoen aan een vergelijkbaar passend beschermingsniveau. Hierbij zijn de volgende aandachtspunten van belang:

• Verwerking is onder bepaalde voorwaarden toegestaan indien de (sub-) bewerker zelf ook met de Safe Harbor principes instemt;
• Een organisatie die instemt met de Safe Harbor principes is niet verplicht om te controleren of een (sub-) bewerker aan de gestelde voorwaarden in de praktijk daadwerkelijk naleeft. Ook als de (sub-) bewerker de gestelde voorwaarden daadwerkelijk naleeft, is er nog geen garantie dat de verwerking door de (sub-) bewerker daarmee eveneens voldoet aan alle eisen uit de Europese richtlijn 95/46/EG of de Wbp;
• De eisen die de Wbp stelt aan de verwerking door sub-bewerkers gaan verder dan de eisen uit het Safe Harbor Framework. De Wbp staat de inzet van sub-bewerkers uitsluitend toe als de verantwoordelijke daar in de bewerkersovereenkomst uitdrukkelijk ruimte voor biedt. De bewerker dient contractueel verzekerd te hebben dat de sub-bewerker zich eveneens richt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt;
• Ook bij inzet van meerdere (sub-) bewerkers blijft de verantwoordelijke volledig verantwoordelijk voor de naleving van de Wbp.

Een risicoanalyse opstellen
Tot slot, kenmerkend voor cloud computing is dat de gegevensverwerking plaats kan vinden op servers die in de hele wereld kunnen staan en er vaak sprake is van meerdere (sub-) bewerkers en vaak ook meerdere verantwoordelijken.

Om invulling te geven aan zijn verantwoordelijkheid voor naleving van de Wbp, zal de verantwoordelijke een risicoanalyse uit moeten voeren om vast te stellen of, en onder welke voorwaarden, er in zijn specifieke situatie gebruik kan worden gemaakt van cloud computing. Voorts kan met deze risicoanalyse worden vastgesteld welke aanvullende maatregelen moeten worden getroffen om te kunnen waarborgen dat de betreffende verwerking van persoonsgegevens in de cloud voldoet aan de Wbp.

De zienswijze van CBP is hier is te downloaden.

Mitopics helpt u graag bij het maken van deze risicoanalyse en afspraken met uw leverancier van cloud-diensten. Neem contact hiervoor met ons op.

[1] De term sub-bewerker is als zodanig niet gedefinieerd in de Wbp. Hieronder wordt daarom bewerker verstaan in de zin van de Wbp.