Verplichtingen bij clouddiensten

15 april 2011
Bestaat er een verschil tussen traditionele outsourcing en cloud computing? Wat betreft de wettelijke verplichtingen niet, zeggen Julius Duijts en Stefan Los. Bij cloud computing is het alleen complexer om aan de verplichtingen te voldoen. Een kort overzicht.

Onderzoek onder CIO’s in Europa wijst uit dat diensten uit de cloud betrekken door organisaties nog weleens wordt vermeden vanwege twijfels over het kunnen voldoen aan de wettelijke vereisten. Bestaat er nu werkelijk een groot verschil tussen traditionele outsourcing en cloud computing? En waarmee dient een uitbestedende organisatie rekening te houden om compliant te blijven op alle fronten?

Dit artikel laat zien dat de wettelijke verplichtingen van een uitbestedende organisatie bij de keuze voor cloud computing niet verschillen ten opzichte van traditionele uitbesteding. Wel is het complexer om aan deze verplichtingen te voldoen.

De belangrijkste algemene aandachtspunten zijn daarbij privacy, arbeidsrecht, administratieve verplichtingen en licenties. In bepaalde branches, zoals de financiële dienstverlening en de zorg, zijn aanvullende regels van kracht, bijvoorbeeld vanwege bankgeheim, exportrestricties of beroepsgeheim, deze vallen buiten het bestek van dit artikel.

Bij uitbesteding van IT-diensten blijft een organisatie verantwoordelijk voor haar wettelijke verplichtingen. Clouddienstverlening is een vorm van outsourcing waarvoor geen andere wetten of regels gelden dan voor andere vormen van uitbesteding. Heldere service level agreements, afspraken over de zorg voor continuïteit, beveiliging, garanties en aansprakelijkheid en (in het geval van persoonsgegevens) een bewerkersovereenkomst waaraan de verwerkende organisatie zich dient te houden, zijn dus ook bij cloud computing nodig. Het voldoen aan wet- en regelgeving is bij cloud computing echter complexer, omdat:

  • vaak sprake is van buitenlandse aanbieders, waardoor onduidelijk kan zijn welke wet- en regelgeving precies geldt en de IT-dienstverlening zich onttrekt aan de blik van nationale toezichthouders;
  • in veel cloudconcepten gegevens in principe overal via internet toegankelijk zijn, waardoor de bij traditionele outsourcing toegepaste fysieke en logische afscheiding van netwerken niet of beperkt mogelijk is
  • niet vaststaat op welke locatie of in welk land gegevens worden opgeslagen of verwerkt.

Deze factoren maken het lastiger om (on-site) audits uit te voeren op het afgesproken beveiligingsbeleid van de cloudserviceprovider (CSP). Ook het kunnen inzien en het toezien op handhaving van de bewaartermijnen wordt bemoeilijkt.

Al met al doet een organisatie die diensten uit de cloud betrekt, er goed aan in een vroeg stadium rekening te houden met wetgeving en deze te betrekken bij de keuze voor een CSP en de afstemming van de dienstverlening. De volgende vragen zijn belangrijk:

  • Waar worden data opgeslagen en verwerkt? Zijn datapermits of andere maatregelen nodig om persoonsgegevens voldoende te beschermen?
  • Is aansprakelijkheid tegenover derden, bijvoorbeeld het gebruik van licenties, uitgesloten?
  • Is de OR voldoende geïnformeerd over de opslag en verwerking van gegevens van medewerkers?
  • Kan worden voldaan aan administratieve verplichtingen en bewaarplicht, ook in geval van calamiteiten (uitstel van betaling, rampen et cetera)?


    Verschillende wegen naar Rome
    De Wet bescherming persoonsgegevens (WBP) sluit nauw aan op de Europese wetgeving en onderscheidt verschillende rollen:
    ▪ De ‘betrokkene’ (data subject) wiens persoonsgegevens worden opgeslagen en verwerkt.
    ▪ De ‘verantwoordelijke’ (data controller) is de rechtspersoon, de organisatie die het doel van de gegevensverwerking bepaalt en de manier waarop dat in de praktijk wordt gebracht. In de praktijk is dit meestal degene aan wie de betrokkene zijn gegevens toevertrouwt.
    ▪ De ‘bewerker’ (data processor) is de organisatie die gegevens van de betrokkene in opdracht van de verantwoordelijke verwerkt en opslaat, zonder onder gezag van de verantwoordelijke te staan. Dit is meestal de rol van de cloudserviceprovider (CSP).
    De ‘data controller’ is primair verantwoordelijk voor de bescherming van de aan hem toevertrouwde persoonsgegevens. Ook bij uitbesteding van IT-dienstverlening in de cloud blijft de ‘data controller’ daarvoor verantwoordelijk. Op grond van de wet gelden beperkingen over de locatie waar persoonsgegevens mogen worden opgeslagen. Een uitgangspunt van de cloud is juist dat voor de gebruiker niet transparant is waar gegevens worden opgeslagen. Goede afspraken met de bewerker (CSP) zijn daarom essentieel.
    Meer concreet geldt dat uitwisseling van persoonsgegevens binnen de Europese Economische Ruimte (EU, Noorwegen, Liechtenstein en IJsland) vrijelijk mogelijk is. Buiten deze landen mogen persoonsgegevens niet zonder nadere voorwaarden worden verstuurd en verwerkt. Compliance in het geval van cloud computing vergt hierdoor extra aandacht. Als uitbestedende organisatie zijn er meerdere alternatieve manieren om ook nu te blijven voldoen aan de privacyregelgeving (zie kader ‘Afspraken met CSP’).
    Bij het niet voldoen aan privacywetgeving is de data controller altijd verantwoordelijk jegens de persoon waarop de gegevens betrekking hebben (betrokkene). Een betrokkene die van mening is dat de Wet bescherming persoonsgegevens niet is nageleefd, kan de data controller aansprakelijk stellen voor schade die hij daardoor lijdt. Als de data controller een goede bewerkersovereenkomst met de CSP heeft afgesloten, kan hij de provider weer aanspreken. Overigens is ook de CSP zelfstandig aansprakelijk jegens de betrokkene, tenzij bewezen kan worden dat het ontstaan van de schade niet aan hem kan worden toegerekend.
    Daarnaast kan het Openbaar Ministerie een verantwoordelijke strafrechtelijk vervolgen en kan het College Bescherming Persoonsgegevens een dwangsom opleggen bij overtreding van de WBP.
    Bij aansprakelijkheid en vervolging wordt rekening gehouden met een afweging tussen het doel van de gegevensverwerking en het belang van de betrokkene. Daarbij speelt een rol dat adresgegevens minder beschermenswaardig worden geacht dan gegevens over bijvoorbeeld gezondheid of financiën.

    Pas op voor wetsovertredingen
    ▪ Arbeidsrechtelijke aspecten
    De Wet op de ondernemingsraden verplicht een organisatie de OR en haar medewerkers te informeren indien haar gegevens bij een derde partij worden opgeslagen of verwerkt. Dit is dus het geval bij zowel uitbesteding aan een CSP als uitbesteding aan een outsourcingpartij. Het hebben van een datapermit vrijwaart een uitbestedende organisatie niet van deze wettelijke verplichting.
    ▪ Administratieve verplichtingen
    Uit het burgerlijk wetboek, IFRS, en fiscale wetgeving vloeien verplichtingen voort ten aanzien van de administratieve organisatie. Cloud computing kan betekenen dat controles en audits minder gemakkelijk kunnen worden uitgevoerd. In bewerkersovereenkomsten met een CSP dient dan ook te worden opgenomen dat er controle mogelijk is, dat de gegevens op een voldoende korte termijn opvraagbaar/inzichtelijk zijn (ook bij calamiteiten), dat bewaartermijnen in acht worden genomen en dat dit regelmatig wordt gecontroleerd.
    ▪ Licentierechtelijke aspecten
    Op het gebied van licenties blijven de gebruikelijke licentie-eisen gelden. Voor de uitbestedende organisatie is niet transparant welke software/licenties van derden door de CSP worden gebruikt om de clouddienst te leveren (bijvoorbeeld achterliggende databases). Daarom doet de uitbestedende organisatie er goed aan een verklaring van de CSP te verlangen die zorg draagt voor dekkende licenties en de uitbestedende partij vrijwaart van aanspraken door derden.

    Opdrachtgever blijft verantwoordelijk
    Er zijn verschillende manieren om ervoor te zorgen dat aan de eisen van de Wet bescherming persoonsgegevens wordt voldaan. Enerzijds door de opslaglocatie nader vast te leggen, anderzijds door uitdrukkelijk toestemming te verkrijgen voor de opslag en verwerking van de gegevens in bepaalde landen. De volgende mogelijkheden kunnen worden benut:
    • Afspraken met de cloudserviceprovider zorgen ervoor dat persoonsgegevens niet buiten de zogenaamde veilige zone vallen (EER, Argentinië, Canada en Zwitserland). Deze oplossing wordt geadviseerd indien er sprake is van opslag van een grote hoeveelheid gegevens door een CSP waarbij invloed kan worden uitgeoefend door de uitbestedende organisatie. De CSP Amazon.com biedt deze keuze inmiddels aan zijn klanten aan.
    • Gegevens alleen laten verwerken door een organisatie die op de ‘safe harbor’-lijst staat. Indien er zaken worden gedaan met cloudserviceproviders die niet kunnen garanderen dat gegevens binnen de veilige zone blijven, kan gevraagd worden naar het naleven van de WBP-principes. Een CSP kan zich conformeren aan deze principes en voldoet daarmee ook aan de geldende wetgeving.
    • Binding corporate rules. Een internationaal opererende organisatie kan en mag persoonsgegevens buiten de veilige zone opslaan en verwerken. Daarvoor is het wel nodig om kantoren buiten die zone zich door middel van bindende organisatieregels te laten conformeren aan de Europese privacywetgeving. Deze oplossing heeft strikt genomen minder te maken met CSP’s maar kan eventueel gebruikt worden indien een provider een Europese vestiging heeft en tevens in het buitenland opereert.
    • Verkrijgen van een datapermit en deze opnemen in de overeenkomst met de verwerkende organisatie. Aan te vragen bij de Europese Commissie om gegevensverkeer met landen buiten de veilige zone mogelijk te maken. Ook nu is er weer sprake van het opnemen van de principes van de Europese privacyregelgeving in de contractbepaling.

Julius Duijts is principal consultant Governance & Compliance bij Getronics Consulting. Stefan Los is businessconsultant bij Getronics Consulting.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.