Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Cloudcomputing en de bewerkersovereenkomst

26 februari 2013 - 2 minuten leestijd

Cloudcomputing is hot. Termen als ‘SaaS’,’ PaaS’, ‘Iaas’ en ‘private/public cloud’ zijn termen waar intussen iedere IT-specialist mee vertrouwd is. De berichtgeving met betrekking tot cloudcomputing is echter niet altijd positief. Helaas moet soms geconstateerd worden dat onder andere de veiligheid en de betrouwbaarheid van clouddiensten niet altijd even goed geregeld zijn. Dit kan niet alleen gevolgen hebben voor uw bedrijfsvoering, maar ook voor de privacy van uw klanten.

In Nederland legt de Wet bescherming persoonsgegevens (Wbp) een aantal eisen op aan degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (de ‘verantwoordelijke’). De verantwoordelijke moet onder meer zorg dragen voor een adequate beveiliging van de opgeslagen persoonsgegevens. De Wbp bepaalt dat, ook indien de persoonsgegevens bij een derde opgeslagen worden, de verantwoordelijke de plicht heeft zorg te dragen voor adequate beveiliging. De cloudprovider is een goed voorbeeld van een dergelijke ‘bewerker’.

Om deze reden verplicht de Wbp de verantwoordelijke een ‘bewerkersovereenkomst’ te sluiten met de cloudprovider. In deze overeenkomst legt de verantwoordelijke een aantal verplichtingen met betrekking tot beveiliging op aan de cloudprovider. Het College Bescherming Persoonsgegevens (CBP) heeft in de vorige week gepresenteerde ‘Richtsnoeren beveiliging van persoonsgegevens’ (nogmaals) duidelijk gemaakt dat de verantwoordelijke niet alleen de verplichting heeft dergelijke afspraken te maken met de bewerker, maar ook in de bewerkersovereenkomst moet opnemen hoe toezicht op nakoming van deze afspraken zal worden gehouden. Het CBP adviseert om duidelijke afspraken te maken met betrekking tot audits, (penetratie)test, enzovoort.

Ook zal moeten worden afgesproken of de bewerker zogenaamde sub-bewerkers mag inschakelen bij de uitvoering van de dienstverlening. Als dit wordt toegestaan, moet in de bewerkersovereenkomst een verplichting worden opgenomen voor de bewerker, om de sub-bewerker tenminste even zware beveiligingseisen op te leggen als voor de bewerker zelf gelden.

Indien de bewerker of sub-bewerker in een land buiten de EU gevestigd is, zullen omtrent de  – eerder op deze site besproken – doorgifte naar derde landen, afspraken moeten worden opgenomen. Als de cloudprovider bijvoorbeeld gevestigd is in de VS, dan moet de verantwoordelijke afspreken met de bewerker dat de bewerker de Europese privacywetgeving na zal leven. Dit gebeurt door een verklaring van naleving van de zogenaamde ‘Safe Harbor Principles’. Echter, het CBP geeft aan dat dit niet genoeg is: ook hier zal actief toezicht gehouden moeten worden op daadwerkelijke naleving. Dit kan door een (jaarlijks) oordeel van een onafhankelijke derde te eisen. EDIT: let op, per 7 oktober 2015 zijn de Safe Harbor vervallen, lees hier meer!

Het CBP stelt echter dat zelfs dit niet genoeg is. De Safe Harbor Principles leggen de lat met betrekking tot beveiliging namelijk lager dan de Wbp. Om deze reden zullen veelal additionele afspraken met (sub)bewerkers gemaakt moeten worden, om zo zekerheid te verkrijgen dat aan de eisen van de Wbp voldaan wordt.

Wilt u meer weten over de bewerkersovereenkomst of over de doorgifte van persoonsgegevens naar derde landen? Neem dan contact op met Natascha van Duuren (advocaat/partner IT, IE & Privacy).

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?