Vorig jaar oktober heeft het Europese Hof van Justitie het vorige Safe Harbor verdrag ongeldig verklaard. De privacy van Europeaanse persoonsgegevens zou teveel geschonden worden.
Op 2 februari 2016 is het nieuwe privacy akkoord tot stand gekomen, namelijk de “EU-VS privacyschild”. Men hoopt hiermee de privacy van Europeaanse persoonsgegevens, die opgeslagen worden op Amerikaanse servers, beter te kunnen waarborgen. Maar ook met dit nieuwe akkoord kan men niet zomaar uitgaan van een veilige opslag van gegevens met betrekking tot cloud computing.
Bescherming van persoonsgegevens
Cloud computing is een vorm van opslag doormiddel van een samenwerking tussen meerdere computers. Een onderdeel hiervan is het opslaan van (persoons)gegevens in de cloud. De cloud is grensoverschrijdend waardoor het lastig traceerbaar is waar de data is opgeslagen en hoe deze data verwerkt wordt. Dit wordt gecompliceerder wanneer gebruikt wordt gemaakt van hosting in andere landen. Wanneer dit het geval is spreekt men in termen van de Wet bescherming persoonsgegevens (wbp.) over “doorgifte van persoonsgegevens”. De Wbp koppelt in artikel 76 vereisten aan deze doorgifte waarbij landen een passend beschermingsniveau moeten waarborgen. Een van deze cumulatieve eisen is het bezitten van een Safe Harbor status.
Cloud Computing blijft een risico
De komst van het nieuwe EU-VS privacyschild verbetert de beveiliging in de global cloud. Zo is afgesproken dat “massasurveillance” van Europese gegevens niet meer zal plaatsvinden door Amerikanen. Daarnaast zijn duidelijke regels afgesproken wanneer de Amerikanen wel of juist geen toegang hebben tot Europese gegevens en hoe deze gegevens moeten worden verwerkt. Ondanks deze nieuwe afspraken blijven er toch risico’s verbonden aan het opslaan van persoonsgegevens.
Zo bestaat er nog veel onduidelijkheid over wie het nieuwe akkoord zal gaan handhaven en op welke manier dit moet geschiedden. Daarnaast maakt de omvang van de cloud het lastig om op alle leveranciers toezicht te houden. Dit duidt vooralsnog op een toezicht en handhavingstekort. Hierdoor blijven hiaten in stand die (al dan niet onbewust) inbreuk kunnen maken op de privacy van persoonsgegevens. Een bijkomend gevolg kan een boete en/of reputatieschade zijn.
Hoe kun je zelf het risico beperken?
Indien je persoonsgegevens beter wilt beschermen, is het raadzaam de volgende checklist langs te lopen:
- Informeer naar de exacte plaats van de feitelijke gegevensverwerking.
- Controleer of hierbij aan de eisen van de Wbp. is voldaan. Wanneer dit niet het geval is de verwerking namelijk niet toegestaan.
- Leg gemaakte afspraken schriftelijk vast.
- Vraag een garantie op van de hoster dat verwerking niet plaats zal vinden buiten de in de Wbp. gestelde passende beschermingsniveaus.
- Neem extra beveiligingsmaatregelen indien er bijzondere gegevens zijn betrokken zoals medische gegevens.
Indien u juridisch advies nodig hebt, hulp bij het beveiligen van uw persoonsgegevens doormiddel van een contract of meer wil weten over dit onderwerp kunt u contact opnemen met JPR Advocaten.
Evelyn Kroese is medeauteur van dit artikel. Zij is werkzaam als student-stagiaire binnen de vestiging Deventer.
Yaşar Bayram
Eva Lammers
Joke Schraagen