Die eigenschappen van cloud computing leiden tot nieuwe uitdagingen en risico s. Ik geef u een aantal observaties.

Transcriptie

1 Toespraak Paul Frencken ter gelegenheid van Het Outsourcing Congres, georganiseerd door Platform Outsourcing Nederland (PON) op donderdag 16 juni 2011 te Haarlem Goedemiddag, Vandaag had Madeleine McLaggan, collegelid van het College bescherming persoonsgegevens, hier willen spreken over cloud computing en toepasselijk privacyrecht. Helaas is zij door familieomstandigheden verhinderd. Ik ben Paul Frencken, directeur van het College bescherming persoonsgegevens, en ik wil, namens het College, de belangrijkste punten uit haar betoog onder uw aandacht brengen. Eerst over het begrip cloud computing. Ik ben geen technisch expert. Een medewerker heeft mij enigszins besmuikt verteld dat het begrip cloud computing vooral bedoeld is om managers gerust te stellen. Het klinkt als iets luchtigs, iets dat heel eenvoudig te begrijpen is, iets dat geen hoofdpijn oplevert. Net zoals internet nog altijd als een wolkje wordt getekend in power point presentaties. Ik ben bang dat die strategie niet alle zorgen heeft weggenomen. Veel bedrijven geven aan te worstelen met privacyvraagstukken bij de overweging om al dan niet cloud computing in te zetten, en dan met name als ze gebruik willen maken van de public cloud van mondiale massaproviders. Welk recht is van toepassing? Wie is precies de verantwoordelijke voor naleving van de privacywetgeving? Staat privacywetgeving het gebruik van deze innovatieve dienstverlening in de weg? Ik kan u uiteraard geen overzicht geven van het toepasselijk recht in allerlei verschillende omstandigheden, maar ik hoop u wel handvatten te kunnen aanreiken om deze vragen zelf te kunnen beantwoorden. Van een juridisch vacuüm is in ieder geval geen sprake. Het fenomeen internationale doorgifte van persoonsgegevens is niet nieuw, evenmin als de daarbij behorende maatregelen en het uitgangspunt dat het Europees beschermingsniveau meereist met de persoonsgegevens. Cloud computing brengt echter wel nieuwe uitdagingen. 1

2 Kerneigenschap van cloud computing is dat de gegevens zich niet meer ergens bevinden. Dat wil zeggen dat de shared pool van servers, applicaties en diensten zich niet meer op één geografisch aanwijsbare plek, in één datacenter bevindt, maar dat de gegevens door talloze datacentra reizen. Gaat het bij offshoring vaak nog om uitbesteding van bepaalde taken aan één specifiek bedrijf, bij cloud computing is veelal een keten van partijen betrokken. Uitdagingen en risico s Die eigenschappen van cloud computing leiden tot nieuwe uitdagingen en risico s. Ik geef u een aantal observaties. Uit een onderzoek eind vorig jaar door onder andere het tijdschrift Cloudworks bij Nederlandse afnemers van cloud computing diensten bleek dat meer dan de helft van de afnemers het privacybeleid van zijn cloudprovider niet kent. Is sprake van blind vertrouwen in de technische en organisatorische beveiligingsmaatregelen van de cloudprovider? Betere mogelijkheden tot beveiliging worden immers vaak genoemd als overweging om cloud computing in te zetten. Tegelijkertijd blijkt uit recent onderzoek van het Amerikaanse Ponemon instituut, dat maar liefst 75% van de cloud computing aanbieders in Europa zich niet verantwoordelijk voelt voor de beveiliging van persoonsgegevens. Die verantwoordelijkheid zou volgens hen bij de afnemers liggen. Als toezichthouder zien we daar natuurlijk een compliance risico ontstaan. Naast compliance risico s is er echter ook het risico van reputatieschade door gebrek aan transparantie. Een voorbeeld. In Engeland ontstond vorig jaar een groot schandaal, toen via de media bekend werd dat de National Health Service, de nationale ziektekostenverzekeraar, miljoenen papieren en op band ingesproken patiëntgegevens had doorgegeven aan een bedrijf in India. Dat bedrijf typte de gegevens over en verzorgde afspraken met patiënten, onder meer voor borstkankeronderzoek. Maar de doorgifte was niet beperkt tot simpele outsourcing van data-entry. Via een privaat bedrijf dat de National Health Service 2

3 mede had opgericht, kregen nog eens twintig bedrijven in India toegang tot de elektronische patiëntendossiers van een zeer groot aantal Britse patiënten. In reactie op de publieke ophef stelde het bedrijf dat er alleen online toegang tot de data werd verleend. De medewerkers van de Indiase bedrijven konden de gegevens niet op eigen servers opslaan, alleen remote invoeren en bewerken. Bovendien had het bedrijf voldaan aan de formele regels voor doorgifte. Dit verweer hielp niet echt in de publieke opinie. Hoewel de National Health Service juridisch wellicht volgens de regels had gehandeld, was de publieke perceptie dat de dienst stiekem uiterst vertrouwelijke gegevens van patiënten had doorgegeven aan bedrijven in India en dat de instelling daarmee onaanvaardbare risico s had genomen. Het gebrek aan transparantie over de doorgifte leidde tot een enorme vertrouwensbreuk. Wettelijk kader Op Europees niveau wordt gewerkt aan een herziening van het wettelijk kader op privacygebied. Naar verwachting maakt de Europese Commissie in november dit jaar bekend welke vorm dit nieuwe kader krijgt. Mogelijk wederom een richtlijn, waarbij de lidstaten een zekere beleidsvrijheid houden, maar mogelijk ook een verordening, waarbij de vereisten tot in detail worden voorgeschreven. Misschien ook een combinatie van die twee instrumenten. Uit de eerste conclusies van de Europese Commissie en toespraken van commissarissen Kroes en Reding blijkt dat cloud computing daarbij speciale aandacht zal krijgen. De regels worden niet alleen in Europa verduidelijkt. De Eurocommissarissen werken tegelijk aan verdere trans-atlantische harmonisatie. Dat blijkt onder andere uit de inzet bij de lopende herziening van het dataverdrag uit 1980 van de Raad van Europa. En het zal u niet ontgaan zijn dat de G8 onlangs een speciale internettop heeft gehouden en dat de VN-Speciale Rapporteur inzake vrijheid van meningsuiting onlangs een rapport heeft uitgebracht over het belang van privacy op internet. Uitgangspunt is en blijft het verzoenen van een adequate bescherming van persoonsgegevens met het vrije handelsverkeer, onafhankelijk van landsgrenzen. Binnen de EU mogen persoonsgegevens vrij uit reizen, maar wie gegevens 3

4 daarbuiten wil brengen, naar landen zonder zogeheten passend beschermingsniveau, dient in beginsel een vergunning aan te vragen. Daartoe zijn verschillende hulpmiddelen ontwikkeld. Er is bijvoorbeeld een Europees modelcontract voor doorgifte van persoonsgegevens door een verantwoordelijke in Europa naar een andere verantwoordelijke buiten de EU. Er is ook een modelcontract voor doorgifte van persoonsgegevens door een Europese verantwoordelijke naar een bewerker buiten de EU. Daarnaast heeft het bedrijfsleven zelf een instrument ontwikkeld, van harte door de toezichthouders ondersteund, de zogeheten binding corporate rules. Dit instrument helpt om de druk te verminderen van het aanvragen van vergunningen voor doorgifte naar allerlei dochters en bewerkers binnen een wereldwijd concern. Dat het beschermingsniveau meereist, is de kern van rechtmatige doorgifte. De hoofdregel is dat je als verantwoordelijke voor de verwerking van persoonsgegevens in Nederland of Europa verantwoordelijk blijft, ook al heb je de gegevens doorgegeven aan een partij buiten de EU. Uit handen geven van persoonsgegevens betekent nooit dat de verantwoordelijkheid uit handen kan worden gegeven. In de praktijk is het aanvragen van een vergunning voor doorgifte een standaard procedure. Het College bescherming persoonsgegevens verwerkt per jaar gemiddeld 130 tot 140 aanvragen die gebaseerd zijn op een van de modelcontracten. Binnen twee weken worden een aanvraag gecontroleerd, en doorgestuurd naar het ministerie van Veiligheid en Justitie, dat de vergunning verleent. Natuurlijk is de procedure van doorgifte bedoeld voor specifieke doorgifte aan één partij, binnen of buiten Europa. Toch is de stap van doorgifte naar cloud computing minder groot dan soms wordt gedacht; of die provider nou een bewerker is, of een zelfstandige verantwoordelijke. Of een cloud provider verantwoordelijke is of bewerker, is afhankelijk van de specifieke context. In veel gevallen zal de cloud provider een bewerker zijn, maar als hij zelfstandig doel en middelen bepaalt kan de provider ook verantwoordelijk zijn voor dat deel van de gegevensverwerking. 4

5 In beide gevallen kan een Europees modelcontract worden gebruikt. In het modelcontract voor doorgifte van een exporterende verantwoordelijke naar een importerende verantwoordelijke, wordt de wederzijdse civiele aansprakelijkheid vastgelegd voor naleving van de bepalingen in het contract. De afnemer van de clouddiensten blijft verantwoordelijk voor een adequaat beschermingsniveau. Het toepasselijk recht wordt contractueel bepaald op het recht van de afnemer of exporteur. De importerende cloud provider is gebonden aan specifiek in het contract vastgelegde doeleinden van de verwerking, en dient zich te houden aan de algemene beginselen van het Europese dataprotectierecht. Als de importerende verantwoordelijke op zijn beurt weer gegevens doorgeeft naar bewerkers elders in de wereld, dient de importeur ervoor te zorgen dat de bewerker het contract meetekent, en dat de betrokkenen, nadat ze geïnformeerd zijn over het voornemen van doorgifte, zich hebben kunnen verzetten, danwel, als het om bijzondere persoonsgegevens gaat, dat betrokkenen vooraf toestemming hebben gegeven voor de doorgifte. Een kenmerk van een aantal massaproviders van cloud diensten die buiten de EU zijn gevestigd, is dat ze standaard algemene voorwaarden hanteren. Die zijn in de meeste gevallen echter niet toereikend. In veel gevallen is de cloud provider een bewerker met eigen verantwoordelijkheid voor in ieder geval beveiliging en informatie. En dus moet de verantwoordelijke een specifiek bewerkerscontract sluiten, waarbij de provider garandeert dat het noodzakelijke beschermingsniveau ook wordt gegarandeerd door alle overige partijen in de keten, op alle locaties. Bij het opstellen van een dergelijk contract is het modelcontract voor doorgifte naar bewerkers en subbewerkers buiten de EU nuttig. De wettelijke vereisten leveren niet alleen een theoretisch compliance risico op. Eind 2010 heeft de Deense toezichthouder op de bescherming van persoonsgegevens een onderzoek afgerond en openbaar gemaakt naar het gebruik van Google apps door leraren in de Deense gemeente Odense. De leraren gebruikten de dienst om de voortgang van leerlingen bij te houden, online afspraken te maken en informatie te sturen aan de ouders. De Deense 5

6 toezichthouder stelde vast dat de clouddiensten van Google niet voldeden aan de Deense privacywetgeving, onder meer omdat niet duidelijk was waar de data zich precies bevonden, of de data ook in datacentra buiten de EU verbleven. Een andere tekortkoming die de Deense toezichthouder constateerde was de weigering van Google om een specifieke bewerkersovereenkomst te tekenen waarin het bedrijf expliciet toezegde zich aan de nationale privacyregelgeving te houden. Daardoor, en omdat de gemeente niet wist waar de gegevens zich fysiek bevonden, kon de gemeente, als verantwoordelijke, haar verantwoordelijkheid voor de beveiliging van de gegevens niet waarmaken. Kortom, als verantwoordelijke voor de verwerking van persoonsgegevens in Europa blijf je verantwoordelijk, ook al heb je de persoonsgegevens doorgegeven aan een partij buiten de EU. In het licht van actuele ontwikkelingen wil ik nog twee aspecten aanstippen uit de Wet bescherming persoonsgevens waarmee verantwoordelijken rekening dienen te houden bij het gebruik van cloud computing, namelijk beveiliging en de informatieplicht. Ook voor beveiliging geldt dat de verantwoordelijke verantwoordelijk blijft. Een dataexporteur moet kunnen vaststellen dat de maatregelen van de cloud provider passende beveiliging bieden. In de modelcontracten is opgenomen dat de exporterende verantwoordelijke de getroffen technische en organisatorische beveiligingsmaatregelen desgewenst moet kunnen controleren, al dan niet met behulp van een externe auditor. Daarbij zullen verantwoordelijken in Europa rekening moeten houden met aankomende wetgeving op het gebied van datalekken. De primaire verantwoordelijke, die de gegevens heeft verzameld, blijft verantwoordelijk om de toezichthouder te informeren, en indien nodig ook de betrokkenen. Om aan die verplichting te kunnen voldoen, moet de verantwoordelijke tijdig en behoorlijk worden geïnformeerd als zich bij zijn cloudprovider een datalek voordoet. Voor de informatieplicht geldt dat verantwoordelijken hun klanten en/of werknemers moeten informeren dat zij persoonsgegevens doorgeven en naar wie. 6

7 Op grond van artikel 33 van de Wet bescherming persoonsgegevens / artikel 10 van de Europese dataprotectierichtlijn dient een verantwoordelijke nadere informatie te verstrekken over de ontvangers van de gegevens en de aard van de gegevensverwerking. Als een belangrijk deel van de gegevensverwerking plaatsvindt buiten de EU, is dit een belangrijk aspect van de dienstverlening, dat eigen risico s met zich meebrengt. Die risico s rechtvaardigen naar het oordeel van het College dat de verantwoordelijke de betrokkenen nader informeert over de doorgifte. Een verantwoordelijke kan niet volstaan met het passief honoreren van eventuele inzageverzoeken. Een behoorlijke en zorgvuldige gegevensverwerking vereist dat een verantwoordelijke betrokkenen actief informeert over eventuele doorgifte naar één of meerdere partijen buiten de EU. Concluderend Er is een beeld in de markt dat cloud computing ingewikkeld en onduidelijk is, en dat privacy daarbij een moeilijk aspect is. Die indruk heb ik hopelijk deels kunnen wegnemen. Online doorgifte van persoonsgegevens naar landen buiten de EU is geen nieuw fenomeen. Er is ook geen sprake van een juridisch vacuüm. Betrokkenen dienen erop te kunnen vertrouwen dat hun persoonsgegevens goed beschermd worden, ongeacht de plaats waar die gegevens verwerkt worden. Het gaat uiteindelijk ook om de vraag of verantwoordelijken hun keuzes transparant kunnen verantwoorden, naar aandeelhouders en naar klanten. Berichtgeving in de media, zoals bij de Britse patiëntendossiers, leert dat als je essentiële eigenschappen van de dienstverlening achterhoudt, het toch wel naar buiten komt. En dat leidt tot grote maatschappelijke verontwaardiging en een vertrouwensbreuk met klanten. Die verontwaardiging is niet beperkt tot bedrijven waar zich beveiligingsincidenten voordoen, maar leidt tot een algemene roep om transparantie en accountability, van iedereen die actief is in deze keten. Tot zover. Hartelijk dank voor uw aandacht. 7