Deense privacytoezichthouder staat gebruik Google cloud niet toe
Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen (zie eerder hier).
Op verzoek van de Deense gemeente Odense heeft de Deense privacytoezichthouder geoordeeld over de vraag of het gebruik van Google Apps te verenigen is met het privacyrecht. De toezichthouder concludeert dat dit niet het geval is.
De gemeente Odense wilde haar leraren gebruik laten maken van Google Apps (de verzameling van Google producten, zoals Google Docs, Google Maps, etc.) voor onder meer het registreren van lesroosters, het toetsen van leerontwikkeling van leerlingen en het communiceren met andere leraren, leerlingen en hun ouders. Hiervoor vraagt ze advies aan de Deense privacytoezichthouder: Datatilsynet.
Het oordeel van de Deense toezichthouder is interessant, omdat de Deense privacywet, net als de Nederlandse privacywetgeving, voorkomt uit dezelfde EU privacyrichtlijn. Het zou dus heel goed kunnen dat het Nederlandse College Bescherming Persoonsgegevens soortgelijk over een dergelijke kwestie oordeelt.
Datatisynet concludeert dat de privacybescherming bij gebruik van de cloud computing oplossing Google Apps onvoldoende gewaarborgd is. Meer specifiek signaleert zij de volgende vijf aandachtspunten:
- Export van data buiten de EER;
- Het ontbreken van een goede risico-inventarisatie;
- Eisen die worden gesteld aan de bewerkersovereenkomst;
- Eisen rond het verwijderen van data;
- Overige eisen die het privacyrecht stelt.
Deze zal ik hierna kort behandelen.
1. . Export van data buiten de EER
Persoonsgegevens mogen in beginsel niet naar buiten de EER (Europese Economische Ruimte) worden geexporteerd, tenzij er sprake is van export naar een land dat een voldoende passend beschermingsniveau heeft. Datatisynet concludeert dat niet alle datacentra van Google in landen in de EER of in landen met zo’n passend beschermingsniveau staan.
The transmission of data to data centres located in other insecure third countries than the USA, may only occur if the conditions in Section 27(3) or Section 27(4) of the Act on Processing of Personal Data are met. It has not been stated whether all of Google Inc.’s data centres in Europe are located within the EU/EEA.
Based on the information presented, it must be assumed that there is not the necessary compliance with Section 27(3) to transfer data to such data centres.
Dat betekent dat deze data-export alleen is toegestaan onder specifieke nadere voorwaarden. Er moet een modelovereenkomst worden gesloten en er moet toestemming worden gevraagd aan de toezichthouder. Dergelijke voorwaarden gelden naar Nederlands recht ook.
If data centres in Europe – but outside of the EU/EEA – are to be used, Odense Municipality and the individual data centres may enter into an agreement based on the EU Commission’s standard contractual clauses, or Odense Municipality may grant Google Ireland Limited a clear mandate to enter into agreements, in Odense Municipality’s name and on behalf of Odense Municipality, based on the EU Commission’s standard contractual clauses with the individual data centres. In addition, it would be necessary to apply for authorisation from the Danish Data Protection Agency pursuant to Section 27(4) of the Act on Processing of Personal Data.
2. Het ontbreken van een goede risico-inventarisatie
Naar Deens recht is het kennelijk zo dat een verantwoordelijke een inventarisatie moet maken van de veiligheidsrisico’s wanneer persoonsgegevens worden geexporteerd. Volgens Datatisynet voldoet de inventarisatie die de gemeente gemaakt heeft niet aan de eisen die de toezichthouder daar aan stelt.
Een dergelijke verplichting staat niet zo letterlijk in de Nederlandse wet, maar een verantwoordelijke is wel in het algemeen verplicht om passende beveiligingsmaatregelen te nemen die er onder meer toe bijdragen dat persoonsgegevens overeenkomstig de wet worden verwerkt (artikel 13 WBP). Dat zal in de praktijk al snel betekenen dat er ter zake een beleid moet worden geformuleerd. Uit het jaarverslag van het CBP, waar wij recent al over hebben geschreven, blijkt dat het CBP het ontbreken van dergelijk beleid al kwalificeert als een schending van de WBP.
3. Eisen die worden gesteld aan de bewerkersovereenkomst
Wanneer de verwerking van persoonsgegevens wordt uitbesteed – zoals bij de cloud – dan moet hiervoor een overeenkomst tussen de verantwoordelijke (de uitbestedene partij) en de bewerker (de uitvoerende partij) worden gesloten. Dat is naar Nederlands recht zo en dat is, kennelijk, naar Deens recht niet anders.
De bewerker moet zich daarbij richten naar de instructies van de verantwoordelijke. Volgens Datatisynet is die instructieverhouding bij Google Apps onvoldoende gewaarborgd:
If the general requirements cited by Odense Municipality are to solely comprise the processor agreement, this requirement would be described as follows: “Customer … instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Policies and Google agrees to do the same.” (cf. section 1.4 of “Google Apps General Terms”).
In the view of the Danish Data Protection Agency, this solely obliges Google Ireland Limited to process the personal data in accordance with Google Inc.’s own Privacy Policy. Thus, Odense Municipality solely instructs Google Ireland Limited to process data in accordance with the Google Inc. group’s own guidelines. The Danish Data Protection Agency finds that such instructions must be deemed devoid of content, in purely material terms.
Bovendien is de toezichthouder kritisch over het feit dat Google de betreffende voorwaarden eenzijdig kan wijzigen:
In addition, it does not appear to be out of question that Google Ireland Limited can unilaterally change the agreement terms in the company’s general terms and conditions, nor is there anything in the processor agreement that prevents Google Inc. from unilaterally changing the company’s Privacy Policy. On this basis, the Danish Data Protection Agency’s view is that Odense Municipality, in reality, has no control of how the data will be processed. The agency therefore assumes that Google Ireland Limited – and Google Inc. – decide how the data will be processed.
Naar mijn inschatting zal de Nederlandse privacytoezichthouder hier niet anders over oordelen.
4. Eisen rond het verwijderen van data
De Deense privacywetgeving bepaalt kennelijk dat gegevensdragers die worden weggegooid en die nog persoonsgegevens bevatten, zodanig moeten worden vernietigd dat die persoonsgegevens niet langer leesbaar zijn. Datatisynet concludeert dat het niet kan verifieren of Google aan deze eis voldoet:
The Danish Data Protection Agency’s view is that, based on the information provided in this case, it is impossible to assess whether the deletion of data media at Google Ireland Limited’s and Google Inc.’s data centres is adequate. Further, the Danish Data Protection Agency finds it to be unclear whether the data are deleted in such a way that they cannot possibly be recreated from Google’s servers. On this basis, the agency finds it difficult to deem the requirements for deletion in Section 9 of Executive Order on Security and Section 5 of the Act on Processing of Personal Data as being met.
Opnieuw geldt dat een dergelijke vernietigingsplicht niet zo letterlijk in de Nederlandse wet staat, maar dat analoge toepassing hiervan goed denkbaar is. Naar Nederlands recht zijn personen die persoonsgegevens verwerken verplicht tot geheimhouding daarvan (artikel 12 lid 2 WBP) en het opzettelijk schenden hiervan vormt een misdrijf (272 Sr). Van opzet is volgens de wetsgeschiedenis (al) sprake wanneer “wordt gehandeld in strijd met een uitdrukkelijke aanwijzing van de verantwoordelijke of een waarschuwing van enige toezichthouder“. Onder omstandigheden zou het slordig omspringen met een gegevensdrager met persoonsgegevens dus strafbaar kunnen zijn. Ook is denkbaar dat dergelijk gedrag kwalificeert als een onrechtmatige daad.
5. Overige eisen die het privacyrecht stelt
De Deense toezichthouder concludeert verder dat in de Google Apps wel eens bijzondere persoonsgegevens zouden kunnen worden uitgewisseld en dat om die reden strenge eisen gesteld moeten worden aan het inlogproces (zoals het gebruik van elektronische handtekeningen). Ook is volgens Datatisynet het loggen van mislukte inlogpogingen onvoldoende gewaarborg. Ook een algemene logging lijkt te ontbreken, terwijl ook dit volgens de toezichthouder zou mogen worden verwacht:
9.3. It has not be stated whether Google Ireland Limited and Google Inc.’s data centres perform logging of uses of personal data, what information is logged, or how long the log is stored. As the case stands, the Danish Data Protection Agency does not find it to be substantiated that the municipality will be able to comply with the logging requirements in Section 19 of the Executive Order on Security.
De parallel is wederom opvallend. Soortgelijke eisen komen naar Nederlands recht naar voren in het, alweer tien jaar oude, rapport “Beveiliging van persoonsgegevens” van het College Bescherming Persoonsgegevens.