Cloud computing Helena Verhagen & Gert-Jan Kroese

Transcriptie

1 Cloud computing Helena Verhagen & Gert-Jan Kroese

2 Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2

3 Privacy 3

4 Better business through better privacy 4

5 Nederlands Juridisch kader Cloud Wet bescherming persoonsgegevens ( Wbp ) wordt Europese Privacy Verordening ( EPV ) Verwachte invoering:

6 Juridische relaties in de Cloud Cloud Provider Bewerker Data Betrokkene Reseller Adviseur KLANT Verantwoordelijke Onderzoeks- & Zorgplicht 6

7 Juridische aspecten cloud computing ROLLEN Site Trend Micro: Veiligheid in de cloud is een gezamenlijke verplichting van de Cloudprovider en de Klant Klant of de opdrachtgever van de klant is op grond van de wet verantwoordelijk voor passende technische en organisatorische maatregelen voor beveiliging persoonsgegevens Verantwoordelijke: stelt het doel en middelen van dataverwerking vast Klant legt deze verplichtingen deels ook op aan de Cloudprovider Resellers hebben als opdrachtnemer de plicht om hun klanten volgens de eisen van goed vakmanschap te adviseren 9/10/15

8 Juridische aspecten cloud computing ROLLEN: Klant Passende technische en organisatorische beveiliging van persoonsgegevens. Passend: Aard van de gegevens, stand van de techniek en Kosten Niet meer gegevens gebruiken dan nodig waar mogelijk identificerende kenmerken verwijderen Toegang tot gegevens beperken bijvoorbeeld door alleen bepaalde medewerkers toegang te verlenen Moderne beveiligingstechniek gebruiken Op basis van de stand der techniek: State of the Art Let op: Klant moet extra aandacht hebben bij internationale data transfer

9 Rol Klant als Verantwoordelijke voor data-opslag bij Cloudprovider Wettelijke verplichtingen Verantwoordelijke : Artikel 6 Wbp: persoonsgegevens worden op behoorlijke en zorgvuldige wijze verwerkt Art. 13 en 14 Wbp: de verantwoordelijke neemt passende technische en organisatorische maatregelen... om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Opnemen in contract: bewerkersovereenkomst 9/10/15

10 Juridische aspecten cloud computing ROLLEN: Cloudprovider Klant = Verantwoordelijke Cloudprovider = Bewerker verwerkt data in opdracht van de verantwoordelijke De Klant moet zorgen dat de data voldoende secure zijn in de cloud Contract 9/10/15 Actieve onderzoeksplicht Klant Een goede bewerkersovereenkomst tussen Klant en Cloudprovider is wettelijk vereist Onderdeel van de Hostingovereenkomst

11 Juridische aspecten cloud computing ROLLEN: Reseller Reseller = Adviseur, Advies volgens de eisen van goed vakmanschap Klant mag vertrouwen op de expertise van de Reseller Als Adviseur is Reseller verplicht onderzoek te doen naar: de behoeften van de klant aard van de te beschermen data => bijzondere of gevoelige gegevens? risico s verbonden aan onvoldoende beveiliging van data Mogelijkheid controle te houden op data Maatregelen bij Datalekken Kernvraag: is de aangeboden oplossing passend voor Klant?

12 Specifieke acties Reseller richting Klant Beveiligingsrisico s inventariseren van soort data bij Cloudprovider Passende technische en organisatorische maatregelen ter voorkoming van dataverlies = preventief beleid met controles via PIA s (privacy audits) Check continuïteit dienstverlening Cloudprovider SLA voor beschikbaarheid, back-up/storage (Redundancy), betrouwbaarheid Zijn Cloudprovider of zijn datacenters buiten EU gevestigd? Zo ja, dan gelden er strengere complexere regels Meldplicht Datalekken van kracht per is aanscherping van bestaande Wbp

13 Tips & To Do s voor Reseller richting Klant Check op Technische Maatregelen: Beveiliging => State of the Art Inrichting Identity & Access Management Mogelijkheid data te migreren bij einde Hosting Check op Organisatorische Maatregelen Aanwezigheid Identity & Access Management beleid Geheimhouding & Schriftelijke afspraak over Onderaannemers Duidelijke retentieperiode voor data (niet langer bewaren dan nodig of toegestaan) Data verwerken bij voorkeur alleen binnen EU of land met passend beschermingsniveau Informeren over beveiligingsincidenten > in bewerkersovereenkomst Meewerken bij onderzoek autoriteiten en/of verzoeken Betrokkene(n) ISO 27018: de nieuwe privacystandaard voor de Cloud > kiezen voor certificering? 13

14 Meldplicht datalekken & uitbreiding boetebevoegheid Datalek: Toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Inbreuk op beveiliging persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking inbreuk op beveiligingsmaatregelen. Voorbeelden: kwijtgeraakte USB-stick met persoonsgegevens gestolen laptop inbraak in een databestand door hacker(s)

15 Meldplicht datalekken & uitbreiding boetebevoegheid Verantwoordelijke moet onverwijld melden aan de Toezichthouder (CBP) Bij inbreuk op beveiliging met aanzienlijke kans op ernstige nadelige gevolgen dan wel inbreuk die ernstige nadelige gevolgen heeft Verantwoordelijke moet onverwijld melden aan Betrokkene Inbreuk op beveiliging die waarschijnlijk ongunstige gevolgen zal hebben op betrokken individuele persoon Uitzondering: Bij inbreuk waar sprake is van versleutelde bestanden is alleen melding aan CBP nodig, niet aan betrokkene Verplichting tot bijhouden/documenteren overzicht met inbreuken inrichten en bijhouden van up to date Privacy Boekhouding

16 Getrapt beslismodel Datalekken STAP 1 Is er een beveiligingsinbreuk? Geen beveiliging = geen inbreuk STAP 2 Is datalek uitgezonderd van de meldingsplicht? STAP 3 STAP 4 Is melding aan het CBP vereist? Is melding aan de betrokkene vereist? 16

17 Melding CBP Vraag Wanneer is er sprake van een aanzienlijke kans op ernstige nadelige gevolgen of ernstige gevolgen? Antwoord Aard van de data en vermoedelijk risico Verantwoordelijke: dus hangt af van de omstandigheden van het geval Bij online dienstverlening (via Cloud) doet risico zich snel voor Wanneer is melding onverwijld? Doel om onderzoek te kunnen doen Let op: bij beursgenoteerde bedrijven is timing melding afhankelijk van financiële regelgeving Verplichting om Datalekken te documenteren Meldingen bijhouden in up to date en controleerbaar register 17

18 Inhoud melding bij CBP Aard inbreuk: een algemene omschrijving volstaat Welke data - welke systemen zijn getroffen aangeven of het vertrouwelijke informatie betreft Let op bijzondere gegevens Geconstateerde en vermoedelijke gevolgen Maatregelen die genomen zijn om herhaling te voorkomen Bewerker (Cloudprovider) moet de Verantwoordelijke (Klant) in staat stellen te voldoen aan de meldplicht Sanctie CBP op niet naleving meldplicht is maximale boete van ,= 18

19 Melding aan betrokkene? Wanneer is er sprake van waarschijnlijke ongunstige gevolgen? Hangt af van de omstandigheden van het geval Bijvoorbeeld: identiteitsfraude, verlies van financiële gegevens, aantasting eer en goede naam > bijv. Ashley Madison incident Hoe snel moet je de betrokkene informeren? Onverwijld Inhoud melding Zodanig dat behoorlijke informatievoorziening is gewaarborgd Kleine groep betrokkenen: rechtstreeks en individueel Grote groep betrokkenen: website, krant, sociale media Geen melding als gegevens door versleuteling onbegrijpelijk of ontoegankelijk zijn Maar wat als hackers encryptie omzeilen of kraken? 19

20 Vragen die de Reseller zich moet stellen Stap 1 Stap 2 Stap 3 Stap 4 Wat voor soort Klant is het? Welke data wil hij opslaan in de Cloud? Welke Cloudoplossing en beveiliging is passend voor de Klant? Wat voor technische maatregelen biedt de aangeboden oplossing? Heeft Klant voldoende organisatorische maatregelen genomen? 20

21 Dank voor uw aandacht

22 Ons Team ANNE HOLDRINET HELENA VERHAGEN GERT-JAN KROESE