Privacy in de cloud

Veel organisaties gaan naar een “cloud tenzij” policy. De keuze voor de cloud wordt veelal ingegeven door kostenbesparing of vereenvoudiging van het IT landschap. En soms is de gewenste dienstverlening doodgewoon alleen via de cloud beschikbaar. Maar hoe moet een organisatie omgaan met privacy en veiligheidsvraagstukken in de cloud?

Afnemer van clouddiensten:

Bestaande en aankomende wetgeving op het vlak van gegevensbescherming vragen de afnemer van clouddiensten de dienstverlening, de verdeling van verantwoordelijkheden en aansprakelijkheden, en de accountability en auditability goed te overwegen. Een instrument om dit systematisch uit te voeren is de PIA. Op basis van deze uitkomsten kan het privacy- en veiligheidbeleid voor clouddiensten worden opgesteld. Dit uiteraard binnen de architectuur van de organisatie. Vervolgens moeten de regelkringen worden ingesteld. Het gaat niet alleen om de “opzet” van de verdeling van verantwoordelijkheden maar ook om het aantoonbaar “bestaan” van de getroffen maatregelen. Dus wordt er geleverd wat is afgesproken en worden ook in de afgesproken “checks and balances” voorzien. En kunnen achteraf de toezichthouder en accountant vaststellen dat de afspraken in voldoende mate zijn nagekomen.

Aanbieder van clouddiensten:

De aanbieder is in gelijke mate als de afnemer verantwoordelijke en aansprakelijk voor een adequate verwerking van (persoons)gegevens. Dit is thans het geval onder de Wet bescherming persoonsgegevens (Wbp) en ook bij de meldplicht datalekken, de aankomende Europese Algemene verordening gegevensbescherming (Avg) en andere (internationale) wet- en regelgeving. Nieuw zijn expliciete vereisten op het vlak van “privacy by design en privacy by default”, dataportabiliteit en het recht om vergeten te worden. De aanbieder van clouddiensten zal moeten kunnen aantonen aan zijn afnemers dat bij ontwerp en uitvoering van de clouddienst rekening wordt gehouden met deze vereisten.

Wij zouden kunnen zeggen dat de scope en reikwijdte van dienstverlening van de aanbieder van clouddiensten als gevolg van de aankomende wet- en regelgeving wordt verruimd en ook kansen biedt. Een privacy impact assessment (PIA) op de clouddienstverlening is sterk aan te raden. Immers, er wordt meer functionaliteit  geboden en de verdeling van taken, bevoegdheden en verantwoordelijkheden tussen aanbieder en afnemer wijzigen.

Contact

Duthler Associates adviseert leveranciers van clouddiensten en helpt gebruikers van clouddiensten ook met het verkrijgen van overzicht en inzicht. U bent van harte welkom vrijblijvend na te gaan wat Duthler Associates voor u kan betekenen. Neem hiervoor contact op met de heer drs. André J. Biesheuvel RE RA.