Privacy en de cloud zijn actuele thema's. Zoals een paar maanden geleden speelde in de PRISM-affaire. Het ging hier om een Amerikaanse cloudaanbieder. Veel data van Nederlandse bedrijven staat ongemerkt in de Amerikaanse cloud. Maakt het voor je gegevensbescherming eigenlijk uit of je in Nederland host of in de Verenigde Staten? Daarover spraken we met Arnoud Engelfriet.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht en partner bij ICTRecht.nl. Op zijn site blogt hij over internetrecht. We interviewen hem over de juridische aspecten van de Nederlandse cloud.
Arnoud: "Het juridische aspect is een belangrijke reden om voor de Nederlandse cloud te kiezen. Zeker als het gaat om persoonsgegevens. Gaat het om patiëntdossiers of andere vertrouwelijke informatie, dan is het je plicht om hier zorgvuldig mee om te gaan. Zo is het vastgelegd in de Wet Bescherming Persoonsgegevens (WBP). Deze wet zegt ook dat je altijd zelf verantwoordelijk bent voor de keuze van je cloudoplossing. Deze verantwoordelijkheid heb je over dossiers in je kast op kantoor, dus ook over wat je in de cloud zet. Als bedrijf heb je dan ook de verantwoordelijkheid om in zee te gaan met een cloudaanbieder die zich houdt aan de Wet Bescherming Persoonsgegevens."
Wat is het verschil tussen Europese en Amerikaanse privacy?
Arnoud; "Als je wilt uitbesteden naar Amerika, dan zijn er wel wat zaken waar je op moet letten. Amerika heeft geen Wet Bescherming Persoonsgegevens, zoals wij. Een ander verschil is dat Amerika pas achteraf hoeft aan te tonen aan een rechter dat ze gegronde reden heeft om inzage te willen in data. De EU moet dat van te voren doen. Het zou kunnen dat de rechter geen gegronde reden ziet en de gegevens niet in gerechtelijke vervolging gebruikt mogen worden. Maar dan hebben de Amerikaanse inlichtingendiensten de gegevens natuurlijk al ingezien. Kijk verder dan het bedrijf waar je mee in zee gaat. Een Europese cloudaanbieder kan een dochter zijn van een Amerikaans bedrijf en dan wordt het Europese bedrijf alsnog gedwongen om informatie over te dragen."
Hoe veilig is safe harbor?
Arnoud; "Om samenwerking tussen de EU en de VS te vergemakkelijken werd vijftien jaar geleden safe harbor in het leven geroepen. Dit is een framework waarin je kunt toetsen of je bedrijf voldoet aan bepaalde richtlijnen. Deze zijn bepaald door de U.S. Department of Commerce en de Europese unie. Voldoe je, dan kom je op de safe harbor-lijst en mag je handel drijven met Europese bedrijven. Het probleem is echter dat bedrijven zichzelf certificeren zonder externe toetsing. Het is dus de vraag hoe waardevol dat certificaat nog is.
"Werk je met persoonsgegevens, dan is het volgens Europese wetgeving je plicht vast te leggen wie er allemaal aanpassingen mag doen aan je bestanden. Of deze delen. Dit heet een bewerkers-overeenkomst. Zoek ook zelf uit of een (Amerikaans) bedrijf secuur genoeg omgaat met persoonsgegevens. Of laat dit onderzoek door externen doen. Veel cloudaanbieders laten zich door externen certificeren. Een waardeoordeel wat al iets meer waard is dan wanneer ze het enkel zelf zouden doen.
"Als het gaat om persoonsgegevens, heeft de VS een lager beschermingsniveau in haar wet dan de EU. Dit verschil is eigenlijk niet met een contract goed te maken. De VS zou haar wet aan moeten passen. Maar met een bewerkersovereenkomst kun je een heel eind komen. En het is goed te kijken naar hoe het bedrijf in het verleden is omgegaan met vertrouwelijke informatie."
Waar moet ik verder op letten bij uitbesteden?
Arnoud; "Deze juridische zaken zijn allemaal erg relevant en zeker het uitzoeken waard. Maar vlak ook het praktische aspect van uitbesteden naar Amerika niet uit. De servers staan fysiek niet in de buurt dus je bent er niet zo een twee drie bij. Probeer sla’s af te sluiten, voor het geval er uitval is. En bespreek wat er gebeurt als de cloudaanbieder failliet gaat. Het is een idee om af te spreken dat jouw servers nog een maand blijven draaien zodat jij de tijd hebt om je data te verplaatsen. En dat verplaatsen, stel dat je na tien jaar wilt overstappen op een andere leverancier, wat gebeurt er dan met je data? Heeft het bedrijf daarover nagedacht? Wat gebeurt er als de factuur niet betaald wordt? Gaat dan meteen de stekker eruit? De cloud is zo nieuw dat deze zaken nog niet zijn vastgelegd in de wet. Er moeten dus over veel zaken afspraken gemaakt worden. Nog geen Nederlandse rechter heeft iets gezegd over de cloud. We moeten dus zelf de risico’s inschatten.
"De afstand kan natuurlijk ook lastig zijn. Het is veel makkelijker om in je eigen land een verstoring op te lossen en een beheerder langs te sturen. En in het uiterste geval van een rechtszaak, ga je niet zo makkelijk even naar de VS."
Dus wat is beter, Nederlandse of Amerikaanse cloud?
Arnoud; "Het hangt erg af van de content van je data. Persoonlijke, vertrouwelijke gegevens zou ik in de Nederlandse cloud houden. Andere, minder privacygevoelige informatie kun je gerust in een cloud in Amerika plaatsen. In elk geval blijf jij zelf verantwoordelijk, en moet je met je cloudaanbieder goede afspraken maken."
Delen
5 redenen waarom de inzet van tijdelijke ict-professionals jouw projecten wél laten slagen
Onderwijs: sociaal en veilig in de cloud
