CBP: ‘Safe Harbor’ maakt nog geen ‘safe’ cloud
Dat schrijft het College bescherming persoonsgegevens (CBP) in een zienswijze die is opgesteld op verzoek van SURFmarket. Het document gaat in op privacykwesties rond de afname van cloudcomputing diensten als e-mail, agendabeheer, groepsdiscussies en relatiebeheer.
Shutterstock
Shutterstock
“Bij het sluiten van een overeenkomst voor clouddienstverlening zal een bedrijf of organisatie zich moeten vergewissen dat de toepasselijke wettelijke regels zijn afgedekt. Zo nodig moeten zij aanvullende afspraken in de overeenkomst met de Amerikaanse aanbieder van de clouddiensten opnemen. In ieder geval geldt dat voor de beveiliging van de in de cloud verwerkte persoonsgegevens.”
Safe Harbor alleen niet genoeg
Het inschakelen van een Amerikaanse leverancier die de ‘Safe Harbor Principles’ onderschrijft, maakt doorgifte van Nederlandse persoonsgegevens naar de VS mogelijk. Maar dat ontslaat de Nederlandse partij niet van de verantwoordelijkheid ervoor te zorgen dat aan de regels ook daadwerkelijk worden nageleefd, bijvoorbeeld bij verwerking van de gegevens of de betrokkenheid van derden.
SURFmarket vroeg het CBP of de zelfcertificering door Amerikaanse leveranciers bij het Safe Harbor Framework voldoende waarborgen biedt voor de doorgifte van persoonsgegevens aan de Verenigde Staten. Het antwoord van CBP is nee. De Nederlandse partij, verantwoordelijk voor de doorgifte, moet verifiëren of de zelfcertificering bestaat en controleren of de Amerikaanse partij de Nederlandse regels ook daadwerkelijk naleeft.
CBP stelt in de zienswijze niet dat de Safe Habor Principles weinig om het lijf hebben. In feite maakt Safe Harbor alleen dat de doorgifte geoorloofd is. Maar het ontslaat de Nederlandse partij niet van de verantwoordelijkheid voor de gegevens en wat er verder nog mee gebeurt. Het CBP adviseert voor afname van een clouddienst een grondige risico-analyse uit te voeren. Daar komen de aanvullende maatregelen uit naar voren die nodig zijn om aan de wet te voldoen. Ook als het gaat om de verdere verwerking van gegevens.
Het is volgens het CBP ook belangrijk te kiezen voor een clouddienstverlener die voldoende waarborgen kan geven ten aanzien van de veiligheid van persoonsgegevens, en waar aanvullende afspraken mee gemaakt kunnen worden. Tenslotte is het volgens het CBP verstandig om afspraken met de leverancier te maken over aansprakelijkheid en de beveiliging van de gegevens.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee