Nieuwe wet voorkomt cloudgraaien in privédata

Buitenlandse overheden mogen niet zomaar meer in Europese clouddata graaien. In de nieuwe Europese databeschermingswetgeving moet privéinformatie van de burger beter worden beschermd.

Dat adviseert de Artikel 29 Werkgroep, de overkoepelende organisatie van nationale privacywaakhonden. De werkgroep bekeek de huidige stand van zaken van cloudcomputing in Europa en legde dat langs de privacymeetlat.

De privacywaakhonden vinden het van "het grootste belang" dat in de nieuwe Europese regelgeving, die nu in de maak is, wordt opgenomen dat er een restrictie komt voor cloudaanbieders die in de EU actief zijn om data over te dragen aan een overheid van buiten de EU. Een verzoek van justitie of een overheidsinstantie uit dat land is niet meer voldoende, maar een dergelijk verzoek moet in overeenstemming zijn met internationale verdragen, een wederzijds verdrag om elkaar te helpen in juridische zaken of goedgekeurd zijn door een toezichthouder, zoals het CBP.

Bedrijven verliezen controle over data

Volgens de privacywaakhonden, waaronder het Nederlandse College Bescherming Persoonsgegevens (CBP), zijn bedrijven en overheden niet langer "in control" over hun data omdat zij die hebben ingeladen in de systemen van de cloudaanbieder. Daardoor zijn ze niet meer in staat om de technische en organisatorische maatregelen uit te voeren die nodig zijn om de beschikbaarheid en vertrouwelijkheid van de data te garanderen terwijl ze voor de EU-wetgeving daar wel verantwoordelijk voor zijn.

Organisaties die hun data willen onderbrengen bij een cloudleverancier moeten daarom eerst een brede en diepgaande risicoanalyse uitvoeren, vindt de Artikel 29 werkgroep, zeker als die data persoonlijke informatie bevat. Maar dat betekent aan de andere kant dat aanbieders van clouddiensten in Europa de klant moeten voorzien van alle informatie die nodig is om de voors en tegens van het gebruik van cloudservices tegen elkaar af te wegen. "Beveiliging, transparantie en juridische zekerheid voor de klant moeten de belangrijkste motivatie zijn voor leveranciers in het aanbieden van cloudservices", zegt de Werkgroep.

Europese Commissie wil Europese cloud

De privacywerkgroep heeft naar cloudcomputing gekeken vanwege de politieke wil van de Europese Commissie, en dan met name Eurocommissaris Neelie Kroes, om cloudcomputing van de grond te krijgen in Europa. Al in 2010 waarschuwde Kroes voor risico's in die ontwikkeling, zoals grensoverschrijdende data en privacywetgeving. Nu wordt er gewerkt aan nieuwe wetgeving. De privacywaakhonden hebben in hun advies in die otnwikkeling nu eerst de huidige Europese regelgeving erbij gepakt en dan vooral de EU Data Protection Directive en de ePrivacy Directive.

In die regelgeving staat duidelijk omschreven dat de verantwoordelijkheid over de data ligt bij degene die de data heeft verzameld, opslaat en verwerkt, of daartoe opdracht geeft aan een partner zoals een cloudaanbieder. Probleem is dus dat door het overhandigen van dat soort processen aan een cloudaanbieder, bedrijven of overheden het risico lopen de controle over de data en de processen te verliezen.

Wie verwerkt waar de data en hoe?

Veelal blijft het tevens onduidelijk hoe, waar en door wie de data wordt verwerkt. In cloudcomputing is het niet ongebruikelijk dat grote bestanden worden opgedeeld en verwerkt over verschillende datacentra in allerlei delen van de wereld. Probleem daarbij is wel dat elk land of elke unie zijn eigen regelgeving kent op het gebied van privacybescherming en dataverwerking.

Het noodgedwongen overdragen van persoonlijke data van eigen burgers aan overheden van andere landen die daar volgens eigen wet toegang mag vragen, is een van de zorgen van de Artikel 29 werkgroep. De Patriot Act van de Amerikanen wordt door de werkgroep niet als voorbeeld gebruikt, maar is er wel eentje in deze categorie.

De werkgroep ziet naast het verliezen van controle over de data nog een ander risico voor klanten, namelijk de afhankelijkheid van de leverancier, vendor lock-in geheten. De overdraagbaarheid van data als het eenmaal bij een cloudleverancier is ondergebracht, kan een probleem worden.

Weg met de wurgcontracten

De werkgroep wil met zijn opiniestuk bedrijven en overheden die gebruik willen maken van cloudservices een aantal punten meegeven die zij in het zakelijke contract met de leverancier kunnen (laten) opnemen. Die punten moeten de vraagstukken zoals hierboven beschreven oplossen. Het afsluiten van de standaard condities die door de leveranciers in de contracten zijn ontslaat de klant niet van zijn verantwoordelijkheid te voldoen aan de Europese wetgeving. Zelfs als de leverancier niet wil onderhandelen over die contractvoorwaarden.

 

Bron: webwereld.nl

Company Information

logo-gh

Call:

+31 (0)70 737 0353

Fax:

+31 (0)70 737 0469

Email:


This email address is being protected from spambots. You need JavaScript enabled to view it.

Visit us:

Vuurtorenweg 35
2583 XL,  the Hague
The Netherlands

All about Grey Hippo

Anything in here will be replaced on browsers that support the canvas element