AVG in de cloud

Deze partijen worden ook wel dataprocessors genoemd in de AVG. Een cloudaanbieder is het perfecte voorbeeld van zo’n dataprocessor waar bijna ieder bedrijf mee te maken heeft. Maar hoe garandeer je dat jouw dataprocessors de privacyrichtlijnen handhaven?

Onder de AVG ligt de verantwoordelijkheid voor data strikt bij de organisatie die de persoonsgegevens als eerste verzamelt. Vanwege dit accountabilityprincipe moeten organisaties hun privacystrategie met betrekking tot de cloud goed onder de loep nemen. Veel bedrijven beginnen zich nu pas te realiseren hoeveel werk dit met zich meebrengt. Zo stelt een artikel van het Cloud Industry Forum dat een gemiddeld Europees bedrijf alleen al 608 cloud-applicaties gebruikt. Echter, dit aantal wordt door schaduw-IT met maar liefst 90 procent onderschat. De uitdaging is daarom ook om te kunnen verwijzen naar alle cloudapplicaties die persoonlijke data bevatten.

Eigen locatie

Een eerste reactie hierop zou kunnen zijn om opslag in de cloud in z’n geheel af te wijzen en om te schakelen naar opslag op eigen locaties. Een voorbeeld hiervan is Lenovo’s aanpak van consumentanalyses. Het bedrijf besloot om een hybride bigdata-architectuur van Amazon Web Services (AWS) in de cloud te combineren met de eigen servers om de meest gevoelige data te beschermen.

Anderen zien de cloud juist als de meest effectieve en veilige manier om de uitdagingen die de nieuwe wetgeving biedt, te overwinnen. Zij moeten alleen wel grondiger zijn in het aankoopproces. Zowel het bedrijf als de cloudleverancier moet de risico’s, mogelijkheden en vereisten goed begrijpen.

AVG-proof

Wat moet je als organisatie doen om AVG-proof te zijn?

1. Ten eerste moeten organisaties hun hele data-infrastructuur doorspitten om een accuraat overzicht van hun data te creëren en te behouden. Hierbij moeten ze in het bijzonder aandacht besteden aan systemen van derden, zoals CRM, HR, infrastructuren en analyses in de cloud.

2. Ten tweede moeten organisaties zorgen dat het contract een akkoord op het gebied van dataverwerking bevat én dat zij de data bij hun cloudaanbieders kunnen wissen wanneer ze geen gebruik meer willen maken van hun service. De organisatie moet ook kunnen aantonen wie er aansprakelijk is in het geval van een datalek. Zo moet de dataprocessor contractueel verplicht zijn om ook verantwoordelijkheid te nemen voor de beveiliging van opgeslagen data. Dit is vooral belangrijk gezien de verplichting van een organisatie om direct de Autoriteit Persoonsgegevens in te lichten bij een ernstig datalek.

3. Ten slotte is er een actievere houding nodig ten opzichte van de fysieke locatie van de datacentra van een cloudprovider. Onder de AVG zijn er maar een paar niet-Europese landen die geautoriseerd zijn om de data van Europese burgers op te slaan. Wanneer de cloudaanbieder hierbuiten data opslaat, moet je als bedrijf kunnen garanderen dat er bindende regels zijn om de data in overeenkomst met de AVG te houden. Het is daarom essentieel om samen te werken met cloudaanbieders die duidelijk en transparant zijn over de locaties waar zij hun data opslaan.