Nieuwe wet moet inbreuk voorkomen op privacy in de cloud

Blog Het Recht NL
Gepubliceerd: 15 juli 2012

Bron: webwereld.nl

In de nieuwe Europese databeschermingswetgeving moet privé-informatie beter worden beschermd. Dit is een advies van de Artikel 29 Werkgroep, de overkoepelende organisatie van de nationale privacy-toezichthouders.

De toezichthouders achten het van "het grootste belang" dat in de komende nieuwe Europese regelgeving, wordt opgenomen dat er een restrictie komt voor cloudaanbieders, actief in de EU, data over te dragen aan een overheid van buiten de EU. Een verzoek van justitie of een overheidsinstantie buiten de EU moet in overeenstemming zijn met internationale verdragen, een wederzijds verdrag om elkaar te helpen in juridische zaken of goedgekeurd zijn door een toezichthouder, zoals het CBP.

view counter

Volgens het Nederlandse College Bescherming Persoonsgegevens (CBP), hebben bedrijven en overheden niet langer de volledige controle over hun gegevens omdat zij die hebben opgeslagen op de systemen van de cloudaanbieder. Daardoor is het onmogelijk geworden technische en organisatorische maatregelen uit te voeren die nodig zijn om de beschikbaarheid en vertrouwelijkheid van gegevens te garanderen terwijl zij volgens de EU-wetgeving daar wel verantwoordelijk voor zijn.

De privacywerkgroep heeft naar cloudcomputing gekeken vanwege de politieke wil van de Europese Commissie, in casu Eurocommissaris Neelie Kroes, om cloudcomputing veilig van de grond te krijgen in Europa. Al in 2010 waarschuwde Kroes voor risico's in die ontwikkeling, zoals grensoverschrijdende data en privacywetgeving.

In de regelgeving staat omschreven dat de verantwoordelijkheid over de data ligt bij degene die de data heeft verzameld, opslaat en verwerkt, of daartoe opdracht geeft aan een partner zoals een cloudaanbieder. De verzamelaar blijft echter verantwoordelijk. Het probleem is dat door het onderbrengen van data bij een cloudaanbieder bedrijven of overheden het risico lopen de controle over de data en de processen te verliezen.

Verder is het vaak onduidelijk hoe, waar en door wie de data wordt verwerkt. In cloudcomputing is het niet ongebruikelijk dat grote bestanden worden opgedeeld en verwerkt over verschillende datacentra in allerlei delen van de wereld. En elk land heeft zijn eigen regelgeving.

Het noodgedwongen overdragen van persoonlijke data van eigen burgers aan overheden van andere landen die daar volgens eigen wet toegang mogen vragen, is een van de zorgen van de Artikel 29 werkgroep. De Amerikaanse Patriot Act van de Amerikanen bij voorbeeld is een wet die de overheid ongelimiteerd toegang geeft tot alle in de VS opgeslagen gegevens. En in de VS staan de grootste datacenters ter wereld, cloudaanbieders uit Europese landen huren hier vaak server-ruimte in.

De werkgroep ziet nog een ander risico voor klanten, namelijk de afhankelijkheid van de leverancier, vendor lock-in. Het overdragen van de ene naar de andere cloudleverancier kan dan een probleem worden.

Een ander heikel punt betreft de contracten. Het afsluiten van de standaard condities, die door de leveranciers in de contracten zijn opgenomen, ontslaat de EU-klant niet van zijn verantwoordelijkheid te voldoen aan de Europese wetgeving. Zelfs als de leverancier niet wil onderhandelen over die contractvoorwaarden. Voorwaarden die haaks kunnen staan op de (toekomstige) wet- en regelgeving. Een voorbeeld: Een Europese aanbieder hanteert voorwaarden naar de klant toe volgens de EU regels en plaatst vervolgens de data op een server in de VS. Wanneer een overheid dan krachtens de Patriot Act met die data gaat stoeien voldoen zowel de EU cloudaanbieder als ook de EU klant niet meer aan de EU regels.

view counter