Cloud computing: het juridisch kader



Vergelijkbare documenten
Van perceptie naar werkelijkheid

CLOUD COMPUTING & PRIVACY

Cloud computing: een kans voor scholen

Cursus privacyrecht Jeroen Naves 7 september 2017

REGLEMENT BESCHERMING PERSOONSGEGEVENS

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacy reglement. Pagina 1 van 9

Privacyreglement. 1. Begripsbepalingen

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Inleiding, toelichting Algemene bepalingen Artikel 1: Begripsbepalingen Artikel 2: Reikwijdte Artikel 3: Doel...

Rubriek Onderwerp Nummer Datum document KWALITEIT - BELEID Privacybeleid

CLOUD COMPUTING & PRIVACY

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

1. Begripsbepalingen In dit reglement wordt verstaan onder:

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

8.50 Privacyreglement

: Privacyreglement Datum : 14 mei 2018 Versienummer : V1.0

Vita Zwaan, 16 november 2017

Privacy reglement. Inleiding

Privacyreglement Auto huren op Curacao

Privacyreglement. Artikel 1. Bereik

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

Privacy Reglement. 2 Definities. 3 Reikwijdte en doelstelling

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Dataportabiliteit. Auteur: Miranda van Elswijk en Willem-Jan van Elk

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

onderzoek en privacy WAT ZEGT DE WET

Goedgekeurd op 23 april Beleid inzake gegevensbescherming en privacy

Privacyreglement 2015

Privacyreglement Esma dienstverlening (februari 2018)

Algemene begrippen AVG

privacyreglement Dit reglement is voor Adhesive Bonding Center B.V. 1. Aanhef Vaartweg PD Lelystad ( verder te noemen school) 2.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement 1. Begripsbepalingen

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

Privacyreglement Edese Schoolvereniging

Privacyreglement De Rijnhoven

Privacyreglement Magspirit

PRIVACY REGLEMENT PCBO LEIDERDORP

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Gastouderbureau Alles Kids Zoetermeer Privacyreglement

29 PRIVACYREGLEMENT PERSONEELS- EN SALARISADMINISTRATIE

PRIVACY EN COOKIE BELEID DOCK4

Privacyreglement SOML

Algemene Verordening Gegevensbescherming

Privacyreglement Ambitiouzz

Privacyverklaring Therapeuten VVET

Privacyreglement. ALTRA Jeugd- en Opvoedhulp

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

Privacyreglement Medewerkers Welzijn Stede Broec

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN

Algemene Verordening Gegevensbescherming (AVG)

Privacyreglement van Thuiszorg Naborgh

Is uw onderneming privacy proof?

Privacyreglement Bureau Beckers

Wat je altijd al moest weten over privacy

Privacyreglement KOM Kinderopvang

REGLEMENT BESCHERMING PERSOONSGEGEVENS. Wageningen University & Research. I Algemene bepalingen II Verwerking van persoonsgegevens...

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Modelprivacyreglement Stichting vmbo Dienstverlening en Producten

Privacy Statement Anderz Organiseren. 1. Inleiding en bedrijfsgegevens

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

Privacyverklaring. 1. Begripsbepalingen. Privacyreglement Dapper Kindercoaching

Algemene verordening gegevensbescherming

Privacyreglement Stichting Houtdatwerkt

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

Privacy protocol Sociaal domein gemeente Waterland 2015

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Wettelijke kaders voor de omgang met gegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Privacyreglement versie 1.2, d.d

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Datum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud

Afdeling 2 Uitgangspunt voor een goede gegevensverwerking

Privacyreglement. 1. Begripsbepalingen

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

PRIVACYREGLEMENT FINANCIAL MARKETING CONCEPTS

Privacy-reglement Spataderen-Amsterdam

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Seminar: Big Data en privacy

1.1 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacy reglement. Birtick Zorg & Welzijn

Privacyreglement Hulp bij ADHD

Transcriptie:

Cloud computing: het juridisch kader Auteur: Willem-Jan van Elk en Miranda van Elswijk

Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd. Onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing, maar hebben vragen over de juridische aspecten ervan. Gegevens in de cloud Het gebruik van clouddiensten brengt met zich mee dat uw gegevens in de cloud staan. Dat geeft terecht aanleiding tot een aantal vragen op juridisch gebied. De situatie is niet eenvoudig: bij cloud computing gaat het vaak om buitenlandse spelers, waardoor zowel regelgeving uit Nederland, Europa als daarbuiten van toepassing is. Er is nog maar weinig jurisprudentie op dit gebied en wetgeving is nog steeds in ontwikkeling. Dat neemt niet weg dat uw gegevens beschermd moeten zijn. Privacy is een fundamenteel recht dat nauw verbonden is met persoonlijke vrijheid. Het omvat de zogeheten informationele privacy: het recht op gegevensbescherming. Handvest en dataprotectierichtlijn Het Handvest van de Grondrechten van de Europese Unie, dat bindend is voor de Europese Unie en haar lidstaten, definieert onder meer: Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Het recht op gegevensbescherming in het Handvest is uitgewerkt in verschillende richtlijnen, waaronder de zogeheten Dataprotectierichtlijn (95/46/EG ). Deze richtlijn bevat: 1. Algemene regels voor de rechtmatigheid van de verwerking van persoonsgegevens; 2. Regels voor de verwerking van bijzondere (gevoelige) gegevens; 3. Regels betreffende de doorgifte van gegevens naar derde landen (landen buiten de Europese Unie). De lidstaten zijn verplicht de richtlijn om te zetten in nationaal recht. In Nederland is dat de Wet bescherming persoonsgegevens (Wbp; hierover later meer), die slechts marginaal afwijkt van de Richtlijn. De dataprotectierichtlijn bepaalt dat de locatie van de vestiging van de verantwoordelijke doorslaggevend is voor het van toepassing zijn er van (anders dan vaak wordt gedacht is dus niet de locatie van de gegevens bepalend). Hierin is de verantwoordelijke : de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De vestiging is de zetel van de persoon en niet de locatie van de IT-faciliteiten die voor de verwerking van persoonsgegevens worden gebruikt. Hoewel dus de locatie van gegevens in beginsel niet bepalend is voor de toepasselijkheid van de Wbp, is het toch noodzakelijk dat onderwijsinstellingen rekening houden met de locatie waarnaar persoonsgegevens doorgegeven en verwerkt worden in het kader van cloud computing. Als de vestiging van de verantwoordelijke zich binnen een EU-lidstaat bevindt, is de richtlijn en daarmee de Wbp van toepassing, ook al bevinden de IT-activiteiten en faciliteiten zich buiten de Europese Unie. Wel is het zo dat in dat geval óók andere regelgeving van kracht kan zijn! Wanneer bijvoorbeeld gegevens zijn opgeslagen in een datacenter op Amerikaans grondgebied, is bijvoorbeeld de USA Patriot Act (zie kader) van toepassing; deze wet heeft als doel om de Amerikaanse overheid meer mogelijkheden te geven om informatie te verzamelen over en op te treden in geval van mogelijk terrorisme. Ook als de vestiging van de service provider zich buiten Nederland bevindt, maar de verwerking wèl gebruik maakt van al dan niet geautomatiseerde middelen die zich binnen Nederland bevinden is de Wbp van toepassing. Omdat ook cookies onder het begrip geautomatiseerde middelen vallen, is de Wbp vrijwel zeker ook van toepassing op de cloud diensten van een service provider buiten de Europese Unie. 2

Wet bescherming persoonsgegevens De Wbp is van toepassing bij (geheel of gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens. In de praktijk betekent dit dat de Wbp ook van toepassing is op cloud computing in het onderwijs. Voor de toepasselijkheid en reikwijdte van de Wbp zijn twee kernbegrippen van belang: verwerking: in beginsel iedere handeling die op gegevens kan worden uitgevoerd. Dit is een breed begrip dat alles omvat, van creatie tot en met de vernietiging van gegevens. persoonsgegeven: een gegeven dat een natuurlijk persoon identificeert of mogelijk kan identificeren. Ook dit begrip kent een brede uitleg. Het gaat om zowel objectieve informatie (feiten) als subjectieve informatie (meningen en oordelen). En zowel om directe identificatie (bijvoorbeeld de persoonsnaam) als om indirecte identificatie (bijvoorbeeld identificatienummer of IP-adres). Veel gegevens zijn dus persoonsgegevens, ook e-mailadressen en de meeste e- mailberichten. De Wbp bepaalt dat persoonsgegevens worden verwerkt in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze. Dit betekent onder meer dat: gegevens alleen verzameld mogen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden; er een zogeheten legitieme verwerkingsgrond moet zijn (het uitvoeren van een onderwijsovereenkomst is zo n verwerkingsgrond); de gegevens aan kwaliteitseisen moeten voldoen (zo moeten gegevens toereikend, ter zake dienend, niet bovenmatig, juist en nauwkeurig zijn met het oog op de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt). Daarnaast kent de Wbp een beveiligingsverplichting. Indien de verantwoordelijke een zogeheten bewerker inschakelt draagt de verantwoordelijke de zorg dat deze op de juiste wijze invulling geeft aan deze verplichting. Een bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Het belangrijkste verschil met de verantwoordelijke is dat de bewerker niet de doelen en middelen voor de verwerking van persoonsgegevens bepaalt, maar slechts in opdracht van de verantwoordelijke persoonsgegevens verwerkt. Indien een bewerker wordt ingeschakeld, moet de verantwoordelijke zorg dragen dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Ook geldt voor de verantwoordelijke een informatieplicht: de verantwoordelijke moet de betrokkene informeren over zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, alsmede nadere informatie verstrekken voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. (De betrokkene is degene op wie een persoonsgegeven betrekking heeft.) Naast plichten voor verantwoordelijken, formuleert de Wbp ook enkele rechten van betrokkenen, zoals een recht op toegang tot de eigen gegevens, een recht om gegevens te rectificeren, te wissen, af te schermen en het recht zich te verzetten tegen de verwerking van persoonsgegevens. De Wbp kent bepalingen voor bijzondere persoonsgegevens: persoonlijke gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en betreffende het lidmaatschap van een vakvereniging. Doorgaans zal een onderwijsinstelling slechts in beperkte mate te maken krijgen met de verwerking van bijzondere persoonsgegevens. Gegevens naar het buitenland De Wbp bepaalt dat persoonsgegevens slechts aan landen buiten de Europese Unie mogen worden doorgegeven indien deze landen een passend beschermingsniveau waarborgen. De Europese Commissie bepaalt formeel of een land een passend beschermingsniveau kent en plaatst deze op 3

een witte lijst. Op deze lijst staan landen als Australië, Canada en de Verenigde Staten. Voor de VS gaat het daarbij om organisaties die voldoen aan de Safe Harbor principes (zie kader De Safe Harbor principes zijn bedoeld voor Amerikaanse bedrijven die zaken doen met organisatie binnen de Europese Unie. Amerikaanse bedrijven die beschikken over een Safe Harbor certificaat worden verondersteld een passend beschermingsniveau te bieden. Wanneer een Nederlandse organisatie een clouddienst afneemt van een service provider in een van deze landen op de witte lijst van de Europese Commissie, is de Wbp van toepassing. In de praktijk zal het echter moeilijk zijn dit recht af te dwingen of handhaving te verlangen. Bij een service provider buiten de Europese Unie die persoonsgegevens zal (laten) verwerken in derde landen, is het daarom verstandig om essentiële gegevensbeschermingsregels op te nemen in een contract. Een contract is juridisch bindend tussen partijen, zodat deze regels ook in het buitenland juridisch afdwingbaar zijn. Contract Een contract kan de rechten en plichten uit de Wet bescherming persoonsgegevens (Wbp) niet terzijde schuiven. Privacybescherming wordt gezien als een recht dat onlosmakelijk met de persoonlijkheid van het individu is verbonden. Daarmee gelden de voorschriften van de Wbp als dwingend recht, wat betekent dat partijen daar in principe niet door middel van een overeenkomst van kunnen afwijken. Het is belangrijk dat de onderwijsinstelling die gebruik maakt van een clouddienst, een contract afsluit met de service provider. Dat is de juridische entiteit die de clouddienst aanbiedt. In het contract staan afspraken over het gebruik van de dienst en de voorwaarden (kosten, service levels) waaraan dit gebruik is gebonden. Bij cloud computing is er vaak een complexe verdeling van rollen en verantwoordelijkheden. Kleine wijzigingen in de feitelijke situatie kunnen mogelijk grote gevolgen hebben voor de verdeling van rollen en verantwoordelijkheden. Het is daarom verstandig rollen, doelen en middelen uitdrukkelijk en duidelijk vast te leggen gelegd in een contract. TILT formuleert een aantal aandachtspunten bij het afnemen van clouddiensten: 1. De locatie waar gegevens worden verwerkt of opgeslagen is niet bepalend voor het toepasselijke recht. In de praktijk is de Wbp altijd van toepassing. 2. De lokatie van de opgeslagen gegevens kan wel een rol spelen in de handhaafbaarheid van het EU-recht, of voor de mogelijkheid voor buitenlandse autoriteiten om gegevens op te vragen. 3. Het Safe Harbor-programma lijkt onvoldoende bescherming te bieden.. 4. Onderwijsinstellingen zullen veelal als verantwoordelijke aangemerkt kunnen worden, en daarmee gebonden zijn aan de rechten en plichten van de Wbp. 5. Verantwoordelijken moeten bedacht zijn op bijkomende regels wanneer bijzondere gegevens verwerkt worden, of wanneer gegevens doorgegeven worden aan derde landen. 6. Cloud computing-configuraties kennen vaak een complexe verdeling van rollen en verantwoordelijkheden. Het is daarom verstandig rollen, doelen en middelen uitdrukkelijk en duidelijk vast te leggen in een contract. 7. Contracten kunnen de rechten en plichten uit de Wbp niet terzijde schuiven. 8. De service provider zal zoveel mogelijk verantwoordelijkheden uitsluiten of beleggen bij de onderwijsinstelling. Met name om plichten die volgen uit de relatie met de eindgebruiker, zoals het verkrijgen van de toestemming van de student (ouder) voor bepaalde verwerkingen. 9. Ook de verantwoordelijkheid voor het gebruik van clouddiensten door eindgebruikers (studenten) kan door service providers contractueel worden neergelegd bij de onderwijsinstellingen: scholing en richtlijnen over hoe studenten de clouddiensten al dan niet mogen gebruiken kan dan van wezenlijk belang zijn. 10. Aangezien service providers over het algemeen grote en machtige partijen zijn, kan het nuttig zijn als onderwijsinstellingen gezamenlijk onderhandelen over betere privacybescherming. 4

Meer informatie Dit artikel is gebaseerd op het rapport De Wolk in het onderwijs, een publicatie uit het SURFnet/Kennisnet Innovatieprogramma en de Checklist Cloud Security van SURFnet. Met het SURFnet/Kennisnet Innovatieprogramma geven SURFnet en Kennisnet een gezamenlijke impuls aan ICT-vernieuwing in het gehele onderwijs. SURFnet en Kennisnet willen bewustwording creëren in het onderwijsveld over de ontwikkelingen, mogelijkheden en toepassingen van cloud computing en bovendien inzichtelijk maken wat de meerwaarde van cloud computing voor het onderwijsveld is. Kijk op www.surfnetkennisnetproject.nl/innovatie/cloudcomputing voor meer informatie over cloud computing. Zo kunt u hier de publicaties Cloud computing in het onderwijs, Dataportabiliteit voor Cloud Computing en De Wolk in het onderwijs gericht op de juridische aspecten van cloud computing downloaden. Ook vindt u hier de publicatie Checklist Cloud Security van SURFnet. De USA PATRIOT Act: vordering van (persoons)gegevens Met deze federale anti-terrorismewet kan de Amerikaanse overheid gegevens vorderen bij partijen die hun gegevens opslaan in de Verenigde Staten. Dit kan gebeuren zonder toestemming of wetenschap van betrokkene en met slechts een beperkte gerechtelijke toetsing. Het gaat daarbij met name over verkeersdata, en in bepaalde gevallen ook de inhoud van communicatie. Ook verkeersgegevens kunnen echter persoonlijke gegevens bevatten, zoals e-mailadres, surfgedrag, IP-adres, enzovoort. Op basis van de USA PATRIOT act zijn in januari 2011 gegevens gevorderd bij de clouddienst Twitter van de Nederlandse Rop Gonggrijp en andere WikiLeaks-vrijwilligers. Eveneens in januari 2011 gaf de hoofdjurist van Google Benelux aan dat Google, ondanks eerdere beloften, nadrukkelijk niet kan garanderen dat zij persoonsgegevens binnen Europa zal opslaan. Microsoft en Amazon doen dit wel, maar het is niet duidelijk of de PATRIOT Act dan van toepassing is. Safe Harbor: onvoldoende garanties Europese bedrijven die persoonsgegevens willen doorgeven aan Amerikaanse bedrijven, mogen dat doen indien het bedrijf over een zogeheten Safe Harbor-certificaat beschikt. De Europese commissie heeft de Safe Harbor op de witte lijst geplaatst van landen en organisaties die een passend beschermingsniveau waarborgen. Inmiddels is echter duidelijk geworden dat er veel fraude plaatsvindt met de Safe Harbor-certificaten en dat deze dus onvoldoende waarborgen biedt. Uit onderzoek van het Australische bureau Galexia bleek dat veel bedrijven met het Safe Harbor-certificaat niet aan alle voorwaarden daarvoor voldoen. Ook bleek dat veel organisaties die het certificaat beweren te hebben zelfs niet eens bij Safe Harbor zijn geregistreerd. Dit is mogelijk omdat Safe Harbor een systeem van zelfregulering is, met een onvoldoende juridische basis. De Amerikaanse overheid oefent ook geen toezicht uit op de naleving van de Safe Harbor principes. Europese regelgeving: roep om aanscherping Eurocommissaris Neelie Kroes waarschuwde eind 2010 al voor de privacyrisico s bij het gebruik van clouddiensten en pleitte voor strengere regels voor grensoverschrijdend gegevensverkeer. Naar aanleiding van het opvragen van Twittergegevens van WikiLeaks-vrijwilligers zijn hier ook in het Europese parlement weer vragen over gesteld. 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback