Wbp
In Nederland legt de Wet bescherming persoonsgegevens (Wbp) een aantal eisen op aan degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (de ‘verantwoordelijke’). De verantwoordelijke moet onder meer zorg dragen voor een adequate beveiliging van de opgeslagen persoonsgegevens. De Wbp bepaalt dat, ook indien de persoonsgegevens bij een derde opgeslagen worden, de verantwoordelijke de plicht heeft zorg te dragen voor adequate beveiliging. De cloudprovider is een goed voorbeeld van een dergelijke ‘bewerker’.
bewerkersovereenkomst
Om deze reden verplicht de Wbp de verantwoordelijke een ‘bewerkersovereenkomst’ te sluiten met de cloudprovider. In deze overeenkomst legt de verantwoordelijke een aantal verplichtingen met betrekking tot beveiliging op aan de cloudprovider. Het College Bescherming Persoonsgegevens (CBP) heeft in de vorige week gepresenteerde ‘Richtsnoeren beveiliging van persoonsgegevens’ (nogmaals) duidelijk gemaakt dat de verantwoordelijke niet alleen de verplichting heeft dergelijke afspraken te maken met de bewerker, maar ook in de bewerkersovereenkomst moet opnemen hoe toezicht op nakoming van deze afspraken zal worden gehouden. Het CBP adviseert om duidelijke afspraken te maken met betrekking tot audits, (penetratie)test, enzovoort. Ook zal moeten worden afgesproken of de bewerker zogenaamde sub-bewerkers mag inschakelen bij de uitvoering van de dienstverlening. Als dit wordt toegestaan, moet in de bewerkersovereenkomst een verplichting worden opgenomen voor de bewerker, om de sub-bewerker tenminste even zware beveiligingseisen op te leggen als voor de bewerker zelf gelden.
Europese privacywetgeving
Indien de bewerker of sub-bewerker in een land buiten de EU gevestigd is, zullen omtrent de – eerder op deze site besproken – doorgifte naar derde landen, afspraken moeten worden opgenomen. Als de cloudprovider bijvoorbeeld gevestigd is in de VS, dan moet de verantwoordelijke afspreken met de bewerker dat de bewerker de Europese privacywetgeving na zal leven. Dit gebeurt door een verklaring van naleving van de zogenaamde ‘Safe Harbor Principles’. Echter, het CBP geeft aan dat dit niet genoeg is: ook hier zal actief toezicht gehouden moeten worden op daadwerkelijke naleving. Dit kan door een (jaarlijks) oordeel van een onafhankelijke derde te eisen. EDIT: let op, per 7 oktober 2015 zijn de Safe Harbor vervallen, lees hier meer!
Niet genoeg
Het CBP stelt echter dat zelfs dit niet genoeg is. De Safe Harbor Principles leggen de lat met betrekking tot beveiliging namelijk lager dan de Wbp. Om deze reden zullen veelal additionele afspraken met (sub)bewerkers gemaakt moeten worden, om zo zekerheid te verkrijgen dat aan de eisen van de Wbp voldaan wordt.
Vragen?
Heeft u vragen over de Cloudcomputing en de bewerkersovereenkomst, neemt u dan contact op met Natascha van Duuren, Advocaat/Partner IE/ICT-recht