Privacy en cloud computing

Vergelijkbare documenten
Efficiënter zakendoen en innoveren met mobiele communicatie

haarlemmerolie van de IT? Tobias Kuipers en Per John

Master data management

Outsourcing. in control. kracht geworden. Ad Buckens en Dennis Houtekamer

Door middel van deze memo informeren wij u over de stand van zaken met betrekking tot het dossier hoogspanningslijnen.

Transparantie: van bedreiging tot businessmodel

Doel Een duidelijke en doordachte werkwijze hanteren bij het omgaan met privacygevoelige gegevens ter bescherming van persoonsgegevens.

Leveringsvoorwaarden voor werken van beeldende kunst Beroepsvereniging van Beeldende Kunstenaars BBK Amsterdam

In dít artike] wordt ingegaan op ontwikkelingen in de informatie technologie (IT) en de consequenties die dit heeft voor

case Gelaagde berichtenuitwisseling strafrechtsketen Respect voor verschillen en uiteenlopende bevoegdheden xml/integratie Brian Dommisse

De Woordpoort. De besteksverwerker van Het Digitale Huis

Wie is er bang voor zijn pensioen? Pleidooi voor een vraaggerichte aanpak van pensioenvoorlichting

Cloud computing: waar begin je aan?

Toelichting Hoe gebruikt u deze toelichting? Correspondentieadres Wat is een schenking? Voor meer ontvangers samen aangifte doen

Er zijn deeloplossingen voor de verschillende architectuurterreinen beschikbaar, zoals de Unified Modeling Language (UML) voor softwaremodellering

Hoe goed bent u in control over de robuustheid van uw ICT-keten?

Studiekosten of andere scholingsuitgaven

Gebouwautomatisering. Science Park. Drie gebouwen, één systeem, of toch niet?

De essenties van drie jaar NK ICT Architectuur

Van metadata naar kennis

Uw auto in 3 simpele stappen

Ernst de Boer en Albert Kleinjan

Fibbe Advocaten. Wilhelminastraat VP Haarlem

Evolueren met portfoliomonitoring

Testen aan de voorkant

Informatiebeveiliging. in de mobiele wereld. Risico s van mobiel werken. devices on the go. Willem Kossen

Maatschappelijk verantwoorde

Belasting en schenken 2012

Belasting en schenken 2013

Correctievoorschrift VWO 2015

De Droomstroom. Het project/document-beheerprogramma van Het Digitale Huis

Een risico- en kostengedreven aanpak voor architectuur

64% 70% 94% 85% 87% 73% 67% 75% 93% 60% 70% 100% 90% 100% 75% 70% 85% 100% Groen Vrij Internet Partij. Stelling CDA VVD D66 PvdA Groen Links

Correctievoorschrift VWO

BINDEND ADVIES. : A te B vs C te D : Geneeskundige zorg, MRI-onderzoek : : 12 maart 2008

Studiekosten of andere scholingsuitgaven

Studiekosten of andere scholings uitgaven

Van grijs naar groen. Richtlijnen voor energiebesparingen in het rekencentrum. groene IT MVO. Esther Molenwijk

Voorkom onzichtbare verspilling: energiebehoefte

SAMENVATTING. trlsg rf *b+ -Fffu. rfdd..r.a & & rëcà- Ll' rkb.í e baé!da. ï:r bcrocp. r.rr- J9en rrrrrrgzl6n

Softwarearcheologie als basis voor strategie

Manu De Backer en Carlos De Backer

Testgedreven projectvoering

De Knaakbaak. Het begrotingsprogramma van Het Digitale Huis

Studiekosten en andere scholings uitgaven

STICHTING HET ZELFSTANDIG GYMNASIUM STICHTING HET ZELFSTANDIG GYMNASIUM. Protocol Collegiale Visitaties

Investeringsbeslissingen

Overzicht. Inleiding. Classificatie. NP compleetheid. Algoritme van Johnson. Oplossing via TSP. Netwerkalgoritme. Job shop scheduling 1

Rekenen banken te veel voor een hypotheek?

Studiekosten en andere scholings uitgaven

te r Geachte mevrouw Schultz van Haegen,

Studiekosten of andere scholingsuitgaven

Zeven stappen naar succesvolle offshore uitbesteding

software Architectuur en dynamiek van productsoftware Architectuur productsoftware ontwikkelt evolutionair architectuur

Tuinstijlen. Tuinstijlen. Het ontstaan van tuinstijlen. Formele tuinstijl. Informele tuinstijl. Moderne tijd

Financiële hulpaanvragen, hoe gaat u er mee om? Keuzewaaier: Handleiding voor de diaconie, ZWO- of zendingscommissie

Ned s Expat NED S EXPAT UW VERZEKERINGSGIDS. international IN AANVULLING OP EEN FRANSE VERPLICHTE BASISVERZEKERING. Een andere kijk op verzekeren.

Een methodische aanpak voor legacy

Pda s in de organisatie

Wat is een training? Het doel van een trainingssessie is om met het team en de spelers vastgestelde doelstellingen te bereiken.

Ned s Expat NED S EXPAT 1 E EURO UW VERZEKERINGSGIDS. international. Een andere kijk op verzekeren. Bijgewerkt op: 15/11/2014

digitale signaalverwerking

Dit document beschrijft de methode voor de waarneming van de Dienstenprijzen; commerciële dienstverlening (Dienstenprijzenindex, DPI).

Openbaar. Ontwerp-bestemmingsplan Nijmegen Midden 2015

Bijlage 1: Toelichting wettelijk kader

Voorwoord. nuoktober. 1 Voorwoord voorzitter pensioenfonds. 2 Update van de financiële positie. 3 Eerste baan?

Multidisciplinair veranderen

Studiekosten en andere scholings uitgaven

Bijverdiensten of opbrengsten als freelancer, gastouder, artiest of beroepssporter

Correctievoorschrift HAVO 2017

Regeling Rijksbegrotingsvoorschriften 2012

Juli Canonpercentages Het vaststellen van canonpercentages bij de herziening van erfpachtcontracten

t Ik bekijk de plaatjes, de titel en de tussenkopjes.

Hogerbeetsstraat 18-B XJ Rotterdam. Vraagprijs: k.k. Woonbron Makelaars. woonoppervlakte 100 m2 3 slaapkamers te koop

Studiekosten of andere scholings uitgaven

Screen. Voordelen van de fusie zoveel mogelijk benutten. mei Highlights

stand van zaken. Guido Bayens

Horeca Starterskrant

BINDEND ADVIES. : A te B in deze vertegenwoordigd door C te D vs E te F : No-claimteruggave : : 7 november 2007

Examen beeldverwerking 10/2/2006

Correctievoorschrift VWO 2015

nu Voor een profielwerkstuk over de aarde Tweede Fase havo/vwo Leerlingenboekje wiskunde

GEBRUIKSAANWIJZING. Binnenunit voor lucht-waterwarmtepompsysteem EKHBRD011ABV1 EKHBRD014ABV1 EKHBRD016ABV1 EKHBRD011ABY1 EKHBRD014ABY1 EKHBRD016ABY1

Correctievoorschrift VWO

Horeca Starterskrant

onderzoek en privacy WAT ZEGT DE WET

Bijverdiensten of inkomsten als freelancer, gastouder, artiest of beroepssporter

Gemeenteraadsvergadering Neerijnen BESLUITENLIJST

Etagevloeren. Ruimte creëren doe je met Nolte Opslag Systemen.

lsolatieboxen met of zonder sluis?

Oefeningen Elektriciteit I Deel Ia

ten deze handelend als schriftelijk gevolmachtigde van:

Niet door de overheid bekostigde ICT-hogescholen in Nederland: een toekomstperspectief

Tijdelijke inpasmethode werkzame beroepsbevolking

OVERZICHT. De Raad Aanvang: 19:00. Vermeerzaal Tijd. Molendijkzaal Raadzaal Het Plein 19:00

Simulatiestudie naar Methodebreuken in het Onderzoek Verplaatsingen in Nederland

2 Les- en leerstofopbouw

Werkboek. meer. check! Geluk. in 3Weken! Marjan van de Bult

Correctievoorschrift VWO

Het wiskunde B1,2-examen

Transcriptie:

legale kaders Privacy en cloud compuing Beveiliging van persoonsgegevens in de cloud E-mail leen zich goed als cloudservice. He voordeel is da de ICT-afdeling geen eigen mailserver hoef op e zeen, wa efficiëner en goedkoper kan zijn. Doorda de mailfaciliei in een cloud draai, vind al he mailverkeer echer ineens buien he bedrijfsnewerk plaas. De gegevens worden via inerne verwerk zonder da bekend is waar ze zich bevinden. Als he daarbij gaa om persoonsgegevens, zal bij he inschakelen van een cloud compuing provider ook aandach moeen worden beseed aan de privacyaspecen. Elisabeh Thole Cloud compuing mag zich in een groeiende belangselling verheugen. Toch ween velen nog nie wa cloud compuing is. Volgens Wikipedia is cloud compuing een parallel compuersyseem waarbij de sofware verdeeld is ussen meerdere compuers op he inerne. De cloud saa voor he inerne, in samenhang me de delen en acies van de applicaie die nie op de apparauur van de gebruiker plaasvinden. Bij cloud compuing hoef de gebruiker nie langer uigebreide kennis of conrole e hebben over de echnologie waarvan hij gebruikmaak. Veelal word binnen cloud compuing onderscheid gemaak ussen de sooren diensenmodellen: Sofware as a Service (SaaS), Plaform as a service (PaaS) en Infrasrucure as a Service (IaaS). Bij SaaS worden de applicaies als diens aangeboden, erwijl he bij PaaS gaa om he aanbieden van een plaform voor de onwikkeling van sofware. Bij IaaS word de IT-infrasrucuur van een organisaie als diens aangeboden. Een andere gangbare onderverdeling houd verband me de open- en gesloenheid van de cloud. Er worden vier ypen modellen onderkend: public, communiy, privae en hybrid. Bij public en communiy cloud compuing worden IT-diensen uibeseed aan een cloud compuing provider. He verschil ussen beide vormen is da bij public cloud compuing de resources van de provider worden gedeeld me andere gebruikers, erwijl he bij communiy cloud compuing gaa om dedicaed hardware. Wa privae cloud compuing beref, word gebruikgemaak van echnologieën binnen he daacenrum van de organisaie. Ten sloe is hybrid cloud compuing een mix van public, communiy en privae clouds. Persoonsgegevens Ongeach om welke vorm van cloud compuing he gaa, he is onvermijdelijk da er ook persoonsgegevens in de cloud worden verwerk. Persoonsgegevens zijn, volgens de We bescherming persoonsgegevens (Wbp), gegevens die herleidbaar zijn o levende nauurlijke personen. 28

Samenvaing Vanui de privacyopiek dienen zich bij cloud compuing de nodige problemen aan, me name wa de beveiliging van persoonsgegevens beref. Maar ook de andere verplichingen ui de We bescherming persoonsgegevens, zoals die voor de doorgife van persoonsgegevens, vergen de nodige aandach. Een eerse sap is da klanen en cloud compuing providers helderheid hebben over hun rolverdeling op privacygebied en de daarui voorvloeiende verplichingen. He kan gaan om gegevens die direc herleidbaar zijn o een persoon, bijvoorbeeld iemands naam, elefoonnummer of (e-mail)adres, maar ook om gegevens die alleen samen me andere gegevens e herleiden zijn o een persoon, zoals iemands gebooredaum of geslach. Ook kan sprake zijn van meer gevoelige gegevens, zoals medische gegevens. Voor he verwerken van di soor persoonsgegevens geld een nog sriker weelijk regime dan voor he verwerken van gewone persoonsgegevens. He verwerken van de bijzondere persoonsgegevens is in principe verboden, enzij er een beroep kan worden gedaan op een weelijke uizondering. Ziekenhuizen zullen bijvoorbeeld medische gegevens (in een cloud) mogen verwerken. De meese andere organisaies zullen deze gegevens in principe alleen me de uidrukkelijke oesemming van de berokkene mogen verwerken. Van he verwerken van persoonsgegevens is al snel sprake wan he kan elke handeling me berekking o persoonsgegevens bereffen, van he verzamelen, vasleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen en gebruiken o he er beschikking sellen van persoonsgegevens. Zelfs he uiwissen of vernieigen van persoonsgegevens kan worden aangemerk als een verwerkingshandeling. Ook binnen cloud compuing zijn deze verwerkingshandelingen me persoonsgegevens denkbaar. Alleen bij de enkelvoudige ransmissie van persoonsgegevens is er geen sprake van he verwerken van persoonsgegevens, wa zich ook in de cloud kan voordoen. De Wbp is dan nie van oepassing. De Wbp is evenmin van oepassing als he gaa om acivieien voor uisluiend persoonlijke of huishoudelijke doeleinden. Rechspraak van he Europese Hof van Jusiie leer echer da deze uizondering resricief moe worden uigelegd. Zo is aangenomen da he plaasen van persoonsgegevens op een websie nie onder deze uizondering val, omda de gegevens hierdoor voor iedereen oegankelijk zijn. Als gegevens voor persoonlijke doeleinden in een cloud worden geplaas (bijvoorbeeld een lijs van conacpersonen), erwijl verschillende personen daarbij kunnen, is aannemelijk da er geen beroep kan worden gedaan op de uizondering. Ook in da geval moe dan rekening worden gehouden me de Wbp. Rol van cloud compuing provider De belangrijkse verplichingen ui de Wbp rusen op de veranwoordelijke. Volgens de Wbp is de veranwoordelijke degene die he doel en de middelen van de gegevensverwerking vassel. De veranwoordelijke kan de gegevensverwerking uibeseden aan een bewerker. Anders dan een veranwoordelijke heef een bewerker geen zeggenschap over de gegevensverwerking, maar zal hij de gegevensverwerking in opdrach en volgens de insrucies van de veranwoordelijke moeen uivoeren. Een bewerker verwerk de persoonsgegevens en behoeve van de veranwoordelijke, zonder aan zijn rechsreekse gezag e zijn onderworpen. Ervan uigaande da bij cloud compuing in ieder geval een klan en de cloud compuing provider berokken zijn, is de volgende rolverdeling denkbaar: de klan is de veranwoordelijke, erwijl de cloud compuing provider de bewerker is. Immers, doorgaans bied de cloud compuing provider de diensen aan in opdrach en en behoeve van de klan. Nieemin is nie uigesloen da de cloud compuing provider als (mede)veranwoordelijke gekwalificeerd moe worden. Volgens de opinie van de Arikel 29 Werkgroep, he privacyadviesorgaan van de Europese Commissie, van februari 2010 (WP169) over de uileg van de begrippen veranwoordelijke en bewerker, gaa he om de wijze waarop parijen in de prakijk invulling geven aan de gegevensverwerking. Als de cloud compuing provider de gegevens ook voor eigen doeleinden verwerk, is hij nie (langer) een bewerker, maar (ook) de veranwoordelijke. Als di he geval 29

legale kaders is, moe de cloud compuing provider zelf (ook) voldoen aan de verplichingen ui de oepasselijke privacyregelgeving. Voor zover de cloud compuing provider een bewerker is, breng di me zich mee da de klan en de provider afspraken moeen hebben gemaak over de verwerking van de persoonsgegevens, meer in he bijzonder de beveiliging van de persoonsgegevens. Deze afspraken duid men ook wel aan me de erm bewerkersovereenkoms. De bewerkersovereenkoms kan onderdeel zijn van de diensverleningsovereenkoms, maar kan ook in een apare bijlage worden opgenomen. Er moe in ieder geval worden afgesproken da de cloud compuing provider, als bewerker, de persoonsgegevens uisluiend zal mogen verwerken in opdrach van de klan. Daarnaas dien de cloud compuing provider conracueel verplich e worden om de beveiligingsmaaregelen die bij de klan gelden in ach e nemen. De klan zal moeen oezien op de naleving van deze regels. He verdien dan ook aanbeveling da de klan zich daaroe he rech voorbehoud. Beveiliging Vanui privacyoogpun lijk bij cloud compuing me name de beveiliging van persoonsgegevens een belangrijke bedreiging e vormen. Nie ondenkbaar is bijvoorbeeld da he syseem gedurende een bepaalde ijd plalig, waardoor geen oegang meer kan worden verkregen o esseniële persoonsgegevens, me alle gevolgen van dien. Een bijkomend probleem is da bedrijven die hun gegevens via de cloud laen verwerken, doorgaans zelf nie meer over een back-up van deze gegevens beschikken. Er word volledig op verrouwd da de gegevens in de cloud beschikbaar zijn. Kenmerkend voor cloud compuing is verder da de gegevens zich op verschillende locaies kunnen bevinden, wa de conrole over de gegevensverwerking zal bemoeilijken. Aannemelijk is da beveiligingsproblemen zich vooral voordoen bij een public cloud, omda deze cloud voor een algemeen publiek beschikbaar is. Bij een privae cloud blijven de persoonsgegevens binnen he eigen newerk, zonder da de cloud word gedeeld me andere klanen. Organisaies zullen daardoor, anders dan bij een public cloud, in principe zelf nog in saa zijn he oezich e houden op de gegevensverwerking die binnen de cloud plaasvind. He weelijk kader voor de e sellen beveiligingseisen is e vinden in arikel 13 van de Wbp. Deze bepaling vereis da er adequae echnische maaregelen en beveiligingsmaaregelen worden geroffen er beveiliging van de persoonsgegevens. De vraag rijs hoever de beveiligingsverpliching reik bij cloud compuing. Aspecen die een rol spelen, zijn de sand van de echniek, de kosen van de enuivoerlegging en de risico s die verwerking en de aard van de e beschermen gegevens me zich meebrengen. Di zijn open normen. Ter concreisering van deze normen heef de privacyoezichhouder, he College Bescherming Persoonsgegevens (CBP), een aanal risicoklassen onwikkeld. De veranwoordelijke die overweeg gegevens over e brengen in een cloud, zal seeds eers een analyse van de privacybedreigingen moeen (laen) uivoeren. Daarbij moe hij nagaan wa de aard en omvang van de gegevensverwerking is, wie oegang heef o de gegevens, welke privacyrisico s e verwachen zijn en wa de consequenies daarvan zijn. Aan de hand daarvan kan worden vasgeseld wa de oepasselijke risicoklasse is en vervolgens wa een passend beschermingsniveau is. Hoe gevoeliger de gegevens die in de cloud worden verwerk, hoe hoger de risicoklasse. Als he bijvoorbeeld gaa om he verwerken van bijzondere persoonsgegevens of om persoonsgegevens waarvoor een geheimhoudingsverpliching geld, zullen deze verwerkingen in een hoge risicoklasse moeen worden ingedeeld. De huidige indeling in risicoklassen daeer ui 2001. Inmiddels heef he CBP aangekondigd da er nieuwe richsnoeren in de maak zijn over de beveiliging van persoonsgegevens. Tevens heef he CBP aangegeven een verscherp oezich op de beveiliging er hand e zullen nemen. Zowel voor de klanen die gebruikmaken van cloud compuing als voor de cloud compuing providers is he goed di e ween. Meldplich privacy-inbreuken Bij gegevensverwerkingen binnen een cloud besaa een verhoogde kans op daalekken en daarmee op privacy-inbreuken. Daarom pas he om in he kader van de beveiliging van persoonsgegevens ook al rekening e houden me de e verwachen invoering van een weelijke meldplich van privacy-inbreuken. Momeneel besaa er in Nederland, anders dan bijvoorbeeld in de Verenigde 30

Saen of Duisland, nog geen weelijke regeling die organisaies verplich melding e maken van he verlies van privacygevoelige gegevens. Inmiddels is een voorsel ingediend o wijziging van de Telecommunicaiewe, die onder meer de gewijzigde e-privacyrichlijn implemeneer. He idee is da medio 2011 de weelijke meldplich word ingevoerd. He CBP heef echer de nodige kanekeningen geplaas bij he wesvoorsel. He wesvoorsel kies voor een weeledige meldplich. Enerzijds word een meldplich voor inbreuken in verband me persoonsgegevens voorgeseld, me de OPTA als oezichhouder, en anderzijds een meldplich voor inbreuken op de veiligheid en verliezen van newerkinegriei, waarbij de veranwoordelijkheid bij he miniserie van Economische Zaken zal worden gelegd. Wel zullen volgens he voorsel beide meldingen prakisch gezien bij één cenraal pun moeen worden gedaan. He wesvoorsel ken geen algemene meldplich, maar er word voorzien in een smalle meldplich. Di houd in da de meldplich alleen geld voor elefoon- en inerneoegangaanbieders. In zijn reacie op he wesvoorsel sel he CBP nie alleen da he zich nie kan vinden in de inriching van de wee meldplichen en he verspreide oezich op de naleving daarvan, ook dring he aan op de invoering van een algemene meldplich. De meldplich zou, aldus he CBP, moeen gelden voor alle bedrijven en overheidsdiensen. He CBP beveel daarom aan he wesvoorsel aan e passen. Als er een algemene meldplich gaa gelden, zullen alle klanen, als veranwoordelijken, de berokkenen en de relevane oezichhouder moeen informeren over een lek in de beveiliging die gepaard gaa me de onrechmaige verkrijging van persoonsgegevens ui de cloud. Specifiek bij cloud compuing is van belang da de klanen voor deze informaie afhankelijk zullen zijn van hun cloud compuing provider. Opda ook de cloud compuing provider wee waar hij aan oe is, is he voor beide parijen raadzaam in de diensverleningsc.q. bewerkersovereenkoms afspraken e maken over de invulling van de meldplich. Inernaionale aspecen Bij cloud compuing worden de gegevens doorgaans op verschillende plaasen opgeslagen. Di kan ook over de landsgrenzen heen zijn. De Wbp is alleen van oepassing als persoonsgegevens worden verwerk in he kader van acivieien van een vesiging in Nederland van een veranwoordelijke. Verder is de Wbp van oepassing als de veran woordelijke buien de EU is gevesigd en er voor de gegevensverwerking gebruik word gemaak van middelen in Nederland, zoals een server in Nederland. In da geval dien de buien de EU gevesigde veranwoordelijke een veregenwoordiger in Nederland aan e wijzen die als de veranwoordelijke word aangemerk. Volgens de eerdergenoemde opinie van de Arikel 29 Werkgroep zullen veranwoordelijken moeen ween waar de gegevensverwerking plaasvind. Een complicaie bij cloud compuing is evenwel da he voor klanen veelal ondoorzichig zal zijn aan welke landen precies de gegevens worden doorgegeven. He lig voor de hand da de gegevens kunnen worden doorgegeven aan landen buien de Europese Economische Ruime (EER). Als hoofdregel mogen persoonsgegevens alleen worden doorgegeven aan landen me een passend beschermingsniveau. Wanneer een land geen passend beschermingsniveau bied, is de doorgife och oegesaan als er een beroep kan worden gedaan op een weelijke uizondering of als de miniser van Jusiie een vergunning heef afgegeven voor de doorgife. Van de volgende landen is aangenomen da zij een passend beschermingsniveau bieden: Zwiserland, Argeninië, Canada, Guernsey, Isle of Man, Jersey, Israël en Andorra. Hezelfde geld voor bedrijven gevesigd in de Verenigde Saen die zich verplich hebben o naleving van de Safe Harbor principles. Als nie sprake is van een van deze landen of in de Verenigde Saen gevesigde bedrijven die de Safe Harbor principles hebben onderschreven, moe een beroep worden gedaan op een weelijke uizondering of moe de klan die een cloud compuing provider inschakel, een vergunning aanvragen. De weelijke uizonderingen lijken in he kader van cloud compuing nie ech een opie e bieden er legiimering van de doorgife van persoonsgegevens. Zo zal he voor zich spreken da aan he vragen van de ondubbelzinnige oesemming van alle berokkenen, een van de weelijke uizonderingen, de nodige prakische bezwaren kleven. Nie alleen is di een nogal zwaar middel, ook doe zich daarbij he probleem voor da als berokkenen hun oesemming weigeren e geven, de persoonsgegevens van die berokkenen nie naar he derde land uigevoerd mogen worden. Di is daarom geen reële opie. De doorgife van de persoonsgegevens zal ook mogen plaasvinden als de klan kan aanonen da de doorgife noodzakelijk is voor de uivoering 31

legale kaders van een overeenkoms die gesloen is ussen de klan en de berokkene. Ook kan he gaan om een overeenkoms die in he belang van de berokkene ussen de klan en een derde, bijvoorbeeld de cloud compuing provider, is gesloen of zal worden gesloen. Mogelijk kan de doorgife op basis van deze weelijke uizondering bij cloud compuing wel worden gerechvaardigd. Als da nie zo is, reseer voor de klan doorgaans nies anders dan een vergunning aan e vragen. Daarbij moe de klan wel ween naar welke landen de doorgife van de persoonsgegevens zal plaasvinden, wa zoals gezegd problemaisch kan zijn bij cloud compuing. De vergunning word door de miniser van Jusiie verleend en dien via he CBP e worden aangevraagd. Aan de vergunningaanvraag worden nadere voorwaarden verbonden die als waarborg dienen voor de bescherming van de persoonsgegevens in kwesie. De eenvoudigse manier om aan e onen da deze waarborgen worden geboden, is door gebruik e maken van modelconracen die goedgekeurd zijn door de Europese Commissie. Recenelijk is een nieuw modelconrac ussen de veranwoordelijke/daa-exporeur en de bewerker/ daa-imporeur vasgeseld. Di conrac moe worden gesloen ussen de klan en de cloud compuing provider. Overigens is di modelconrac alleen van oepassing als de cloud compuing provider buien de EER gevesigd is. Onduidelijk is daardoor of he ook kan worden gebruik als de cloud compuing provider binnen de EER gevesigd is maar gebruikmaak van onderaannemers die gevesigd zijn in een land buien de EER zonder passend beschermingsniveau. Zoals gezegd rus de verpliching om ervoor e zorgen da de doorgife rechmaig plaasvind bij de klan, en nie bij de cloud compuing provider. He is derhalve de klan die de noodzakelijke formalieien dien e vervullen. Als de cloud compuing provider deze formalieien van zijn klanen zou willen overnemen, zou hij ervoor kunnen kiezen een zogenaamde generieke vergunning aan e vragen. Daarbij is he idee da de klan de veranwoordelijke is voor de gegevensverwerking»klanen en cloud compuing providers moeen helderheid hebben over hun rolverdeling op privacygebied en de daarui voorvloeiende verplichingen«in Nederland, erwijl de cloud compuing provider de veranwoordelijke is voor de doorgife van de persoonsgegevens. Di bied de cloud compuing provider de mogelijkheid om de adminisraieve lasen van zijn klanen e verlichen. Bovendien zou de cloud compuing provider in principe op de hooge moeen zijn naar welke landen de gegevens worden doorgegeven. De kwesie van de vergunning zal overigens in de oekoms een minder hee hangijzer worden. Er is namelijk een weswijziging ingediend waarin word voorgeseld de vergunningsplich e laen vervallen indien gebruik word gemaak van de ongewijzigde modelconracen. Een andere mogelijkheid om de doorgife e legiimeren is door gebruik e maken van Binding Corporae Rules (BCR s). Behalve da he aanvragen van BCR s een nogal ijdrovende aangelegenheid is, geld echer ook da BCR s vooralsnog alleen beschikbaar zijn voor doorgife binnen he concernverband van de veranwoordelijke. Aangezien de gegevens bij cloud compuing aan de cloud compuing provider als bewerker worden versrek, gaa de oplossing van BCR s (vooralsnog) nie op. To slo Vanui de privacyopiek dienen zich bij cloud compuing de nodige problemen aan, me name wa de beveiliging van de persoonsgegevens beref. Maar ook de andere verplichingen ui de Wbp, zoals die gelden voor de doorgife van persoonsgegevens, vergen de nodige aandach. Een eerse sap is in ieder geval da klanen en cloud compuing providers helderheid hebben over hun rolverdeling op privacygebied en de daarui voorvloeiende verplichingen. He devies luid dan ook om nie me he hoofd in de wolken e lopen, maar me beide benen op de grond, zoda cloud compuing voor allen een succesvolle aangelegenheid word. Mr. dr. Elisabeh Thole is advocaa bij Van Doorne N.V. e Amserdam en voorzier van he Van Doorne Privacyeam. E-mail: hole@van-doorne.com. 32

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback