CBP publiceert zienswijze over Amerikaanse cloud provider
Met dank aan Annemarie Bloemen, Houthoff Buruma.
De zienswijze geeft antwoord op drie vragen van SURFmarket, een organisatie die namens medewerkers en studenten van universiteiten en hogescholen onderhandelt met ICT-aanbieders. Een meningsverschil met een Amerikaanse leverancier van cloud computing services was voor SURFmarket aanleiding om het CBP een aantal vragen te stellen. Het CBP werkt in de zienswijze een aantal stellingen van de Artikel 29 Werkgroep over dit onderwerp verder uit (zie hierover een eerder ITenRecht.nl bericht).
Volgens het CBP garandeert het feit dat een Amerikaanse cloud provider Safe Harbor gecertificeerd is niet dat de Safe Harbor Principles ook worden nageleefd. Een Safe Harbor certificering volstaat ook niet om te waarborgen dat eventuele sub-bewerkers een passend beschermingsniveau bieden. Een Nederlandse verantwoordelijke zal deze beide punten zelfstandig moeten controleren. En aangezien een Safe Harbor certificering alleen waarborgen voor een doorgifte van persoonsgegevens buiten de EU bevat, zal deze controle ook moeten zien op de verdere naleving van de Wbp door de cloud provider en zijn sub-bewerkers. Daarbij legt het CBP de nadruk op de beveiligingsverplichting van artikel 13 Wbp.
Voor wat betreft deze beveiligingsverplichting stelt het CBP verder dat een zogenaamde TPM (third party mededeling, waarin een externe deskundige een oordeel geeft over (beveiligings)maatregelen van een bewerker) die gebaseerd is op de ISAE 3402 of de SSAE 16 standaarden een middel kan zijn om te controleren of een bewerker persoonsgegevens voldoende beveiligt.
Ten slotte adviseert het CBP partijen om in cloud computing overeenkomsten alvast te anticiperen op de aankomende wijziging van de Wbp, waardoor een datalek meldingsplichtig zal worden. Een verantwoordelijke zal met zijn bewerkers schriftelijke afspraken moeten maken over de naleving van deze plicht.
Op andere blogs:
SOLV (Cpb publiceert zienswijze over cloud computing)
