Privacy in de cloud
M. Korpershoek, 'Privacy in de cloud', Automatiseringsgids 25 oktober 2012.
Een bijdrage van Marianne Korpershoek, Louwers IP|Technology advocaten.
Nu cloudcomputing een grote vlucht begint te nemen, krijgen ook de privacy risico’s van cloudcomputing aandacht van de Europese privacy waakhonden. Bij cloudcomputing is er immers vaak een keten van leveranciers verantwoordelijk voor het leveren van de clouddienst en is onduidelijk wie waarvoor verantwoordelijk is. Om de verantwoordelijkheid voor het verwerken van privacy gevoelige gegevens in kaart te brengen heeft in WP29 (zie kader) op 1 juli van dit jaar een advies uitgebracht. Het CPB heeft met het advies in het achterhoofd zijn Zienswijze gegeven over het inschakelen van een Amerikaanse cloudleverancier door SURFmarket.
De privacyrisico’s in de cloud volgens WP29
Wat moet een afnemer van een clouddienst doen volgens WP29
De zienswijze van het CPB
Kader artikel 29 Working Party (WP29)
Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy
De privacyrisico’s in de cloud volgens WP29
De WP20 onderkent dat cloudcomputing veel economische en maatschappelijke voordelen heeft, maar dat er ook een aantal grote privacy risico’s zijn, bijvoorbeeld:
- Gebrek aan controle over persoonsgegevens. Bij cloudcomputing is immers vaak sprake van een wijdvertakte keten. In een cloudketen zijn aparte partijen voor hosting, beheer en onderhoud van de hardware, gegevens en de applicaties, ter beschikking stellen van de applicatie etc. Dat betekent dat een opdrachtgever niet weet wie van zijn leveranciers en subleveranciers verantwoordelijk is. Terwijl hij daar wel toe verplicht is op grond van de WBP. Zo kunnen voor een Nederlandse clouddienst de servers in Bulgarije staan, terwijl de helpdesk in Zuid-Afrika in de gegevens kan kijken en de onderhoudspartij uit India ook toegang heeft tot gegevens omdat dat nodig is om het werk goed uit de voeren;
- Onvoldoende informatie over hoe, waar en door wie de persoonsgegevens worden verwerkt. Wanneer de verantwoordelijke voor het verzamelen van de persoonsgegevens niet weet waar en door wie de persoonsgegevens worden opgeslagen, dan kan hij ook niet doen aan zijn informatieverplichting aan de personen van wie de gegevens worden verzameld. Iedereen heeft immers op grond van de WPB het recht om te weten welke gegevens worden opgeslagen.
Wat moet een afnemer van een clouddienst doen volgens WP29
Om bovengenoemde problemen te tackelen stelt de WP29 voor dat iedereen die een clouddienst wil afnemen waarbij privacy gevoelige gegevens worden opgeslagen, eerst een uitgebreide en grondige risicoanalyse maakt. Cloudleveranciers op hun beurt moeten afnemers alle informatie geven die nodig is om de voors en tegens van cloudcomputing voor die betrokken afnemers af te wegen. Veiligheid, transparantie en juridische zekerheid zouden de belangrijke aspecten moeten zijn in een aanbieding voor een cloudleverancier.
De WP29 vindt dat een bedrijf dat een clouddienst afneemt garanties moet vragen van zijn cloudleverancier over het nakomen van de Europese en nationale privacyregels . Dit moet verplichtvastgelegd worden in de bewerkersovereenkomst tussen de cloudleverancier en de afnemer. Deze bewerkersovereenkomst is overigens nu al verplicht op grond van de WBP. Verder moeten er afspraken gemaakt worden over bijvoorbeeld het wissen van gegevens omdat opslag niet langer nodig is. Ten slotte moet de afnemer van de clouddienst garanties vragen van zijn leverancier dat transport van data buiten de EU volgens de strenge wetgeving verloopt.
De zienswijze van het CPB
SURFmarket had het CPB gevraagd of en onder welke voorwaarden zij gegevens van Nederlandse studenten en universitaire medewerkers mochten laten opslaan bij een Amerikaans bedrijf. Het CPB heeft deze vragen beantwoord met het advies van de WP29 in het achterhoofd. Het CPB vindt dat een bedrijf dat gebruik wil maken van een Amerikaanse cloudleverancier op de eerste plaats een risicoanalyse moet doen om vast te stellen of er in zijn specifieke situatie wel gebruikt gemaakt kan worden van cloudcomputing bij een Amerikaanse leverancier. Op de tweede plaats moet de afnemer de afspraken en de garanties van zijn cloudleverancier vastleggen in een bewerkerscontract. Op de derde plaats moeten er in het contract met de cloudleverancier afspraken gemaakt worden over aansprakelijkheid bij een inbreuk op de privacy. Artikel 49 van de WBP bepaalt dat degene die de gegevens verzamelt ook aansprakelijk is voor de schade die wordt veroorzaakt door een privacyinbreuk. Deze aansprakelijkheid moet doorgelegd kunnen worden naar de cloudleverancier, aldus het CPB. Ten slotte moet er in die bewerkers overeenkomst ook afspraken gemaakt worden over de melding van datalekken.
Wat zijn de gevolgen van dit advies?
Het advies van de WP29 is natuurlijk niet meer dan een advies en geen concrete wetgeving. Maar iedereen die zijn persoonsgegevens opslaat in de cloud zal dit advies wel ter harte moeten nemen. Voor afnemers van clouddiensten geldt dat wanneer het misgaat een rechter bij de vaststelling van de aansprakelijkheid rekening zal houden met de aanbevelingen uit dit advies. Wanneer die niet zijn nageleefd door de gebruiker van de clouddienst, dan zal dat gevolgen hebben voor zijn aansprakelijkheid voor de schade van de betrokkenen, bijvoorbeeld omdat er voordat de clouddienst werd afgenomen er geen risicoanalyse is gemaakt of omdat er geen goede bewerkersovereenkomst is, of omdat blijkt dat gegevens buiten de EU zijn getransporteerd zonder dat de wet is nageleefd.
Ook aanbieders van clouddienstverlening zullen rekening moeten houden met dit advies. Bijvoorbeeld wanneer ze nalaten hun afnemers op de hoogte te stellen van alle privacyaspecten die verbandhouden met hun diensten. Ze zullen afnemers actief op de hoogte moeten stellen wanneer servers verplaatst worden of wanneer een contract gesloten wordt met bijvoorbeeld een Indiase beheerder die toegang krijgt tot de gegevens of deze nu binnen of buiten Europa zijn opgeslagen. Niet voldoen aan informatieplichten kan ook voor de cloudleverancier tot aansprakelijkheid leiden wanneer het mis gaat.
Maar niet alleen de rechter zal naar met een schuin oog naar dit advies kijken. Dit advies zal ook een kader geven voor overheden bij aanbestedingen en voor grote en kleine organisaties die een reputatie te verliezen hebben of die het risico lopen op grote schadeclaims. Cloudleveranciers zullen daar actief op moeten inspelen door bijvoorbeeld het ter beschikking stellen van risicoanalyses, externe audits over hun beveiliging etc. om te voorkomen dat zij de boot in deze belangrijke marktmissen.
Kader artikel 29 Working Party (WP29)
In 1995 is de Europese Privacy Richtlijn vastgesteld. Deze richtlijn is bedoeld om de persoonsgegevens binnen Europa op een veilige manier te bewaren en de verwerken. De Wet Bescherming Persoonsgegevens (WBP) is een vertaling van de Privacy richtlijn in de Nederlandse wet. De richtlijn verplicht dat in iedere lidstaat van de EU een toezichthouder voor de bewaking van de privacy moest worden opgericht. In Nederland is dat het College Bescherming Persoonsgegevens (CPB). Artikel 29 van de Privacy Richtlijn bepaalt dat er een werkgroep wordt ingesteld die bestaat uit vertegenwoordigers van alle Europese privacy waakhonden. Deze WP29 adviseert de Europese Commissie over privacyissues en kan ook aanbevelingen doen hoe persoonsgegevens beter beschermd kunnen worden. In dat kader heeft de WP op 1 juli 2012 een uitgebreid advies uitgebracht over de privacyaspecten van cloudcomputing en de verplichtingen van zowel aanbieders als afnemers van clouddiensten.
Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy
Op 27 september 2012 heeft Neelie Kroes de nieuwe Europese strategie gepresenteerd om er voor te zorgen dat cloud computing wordt gepromoot. Met cloudcomputing hoopt de EU 2,5 miljoen nieuwe banen te creëren en verder zou het bbp daardoor jaarlijks met 160 miljard euro groeien. De strategie wil barrières voor cloudcomputing wegnemen. Neelie Kroes ziet drie belangrijke belemmeringen voor de ontwikkeling van de Europese cloudmarkt:
- Een wildgroei aan standaarden en technische normen;
- Problemen met contracten. Veel bedrijven en consumenten maken zich zorgen over de toegang tot data en de mogelijkheden om de data mee te nemen naar bijvoorbeeld een andere leverancier. De EU wil daarom bevorderen dat er eerlijke en uitgebalanceerde standaardovereenkomsten worden opgesteld;
- Last but not least is er de versplinterde en versnipperde Europese cloudmarkt. Ieder land heeft immers zijn eigen regels en beleid op het gebied van contracten, consumentenbescherming, strafrecht en privacy.
Op het punt van de privacy concludeert Neelie Kroes dat verschillende wetgeving in de 27 EU landen in de weg staat aan een kosteneffectieve cloudoplossing die grenzen overschrijdt. Het advies van de WP29 krijgt daarom een belangrijke rol volgens het Strategie Document. Volgend jaar komt er een Europese privacywet die gaat gelden voor alle landen van de EU en met deze nieuwe wet zullen ook specifieke regels opgesteld worden voor privacy in de cloud, zowel voor afnemers als cloudketenpartners.