Cloud
Gebruik maken van een cloud wordt onder bedrijven steeds populairder. Het levert een hoop voordelen op, maar brengt ook (privacy) risico’s met zich mee.
Plaats opdracht
Cloud en advocaat
Werken in de cloud is het opslaan en gebruiken van gegevens, software en bestanden op een andere locatie. Deze locatie is meestal niet zichtbaar en wordt daarom ook wel een “cloud”, oftewel wolk, genoemd. Door middel van de cloud kunnen online diensten in grote omvang worden aangeboden. Bij cloud computing bieden clouddienst aanbieders een netwerk van allerlei gedeelde servers aan (‘the cloud’). De servers bevinden zich meestal op verschillende locaties. De gebruiker is zelf geen eigenaar van de gebruikte hard- en software en is dus ook niet verantwoordelijk voor het onderhoud. De gebruiker maakt gebruik van de software van de aanbieder. Clouddiensten kunnen bestaan uit het hosten van software, oftewel Software as a Service (SAAS), of het hosten van platforms, oftewel Platform as a service (Paas). De contracten die in verband hiermee met de clouddienst aanbieder worden gesloten kunnen als een contract automatisering gezien kan worden.
Gebruik maken van de cloud voor de opslag van gegevens en software is steeds populairder. Steeds meer bedrijven hebben afstand gedaan van een eigen server. De eindgebruiker weet daarom nu vaak niet op hoeveel of welke servers zijn software draait en waar de servers zich bevinden. Dat biedt een aantal voordelen, maar het brengt tegelijkertijd ook een aantal risico’s met zich mee. Met name ten aanzien van de privacy. Door gebruik te maken van clouddiensten worden over het algemeen persoonsgegevens verwerkt, waardoor de Wet bescherming persoonsgegevens van toepassing is. Het is van belang dat je je hier als ondernemer van bewust bent. Een advocaat kan jou adviseren over de voordelen en risico’s die verbonden zijn aan werken in de cloud. Ook als jouw bedrijf door het gebruik van de cloud in een (privacy) geschil verwikkeld is geraakt, kan een advocaat jou adviseren, contact onderhouden met de wederpartij en jou eventueel bijstaan in een gerechtelijke procedure. Er kunnen complexe vraagstukken ontstaan waarbij ook buitenlandse wetgeving een rol kan spelen. Je kunt in een juridische procedure bovendien tegenover grote en zeer ervaren bedrijven komen te staan. Juridische bijstand is dan onmisbaar.
Welke voordelen zijn er verbonden aan werken in de cloud?
Cloud computing is een vorm van IT-dienstverlening waarmee je op een relatief gemakkelijke, goedkope en veilige manier de beschikking hebt over opslag voor jouw gegevens en software. Je maakt als bedrijf gebruik van de servers van de clouddienstverlener. Deze dienstverlener zorgt ervoor dat de cloud goed werkt en wordt onderhouden. Cloud aanbieders beschikken vaak over gespecialiseerde deskundigen die storingen snel op kunnen lossen. Hier hoef je je als eindgebruiker dus niet zelf zorgen over te maken. Je hoeft als eindgebruiker ook niet te weten waar de servers van de clouddienstverlener zich bevinden. Ook is het gebruik van een clouddienst relatief veilig. De datacenters waar de cloud servers draaien worden veelal sterk beveiligd. Hackers en virussen zullen minder gemakkelijk binnendringen en de kans op diefstal is kleiner.
Welke risico’s zijn er verbonden aan werken in de cloud?
Toch zijn er ook risico’s verbonden aan het gebruik van clouddiensten. De grootste risico’s zijn te vinden in de privacy, beveiliging en continuïteit van dienstverlening. Om met de laatste te beginnen: als er iets mis gaat bij het gebruik van de cloud, ben je als eindgebruiker machteloos tot de dienstverlener het probleem oplost. Je kan zelf immers niet bij de servers en weet over het algemeen niet waar de servers zich precies bevinden. Een ander nadeel is dat de internetverbinding erg belangrijk is voor de werking van de cloud. Als die wegvalt, kun je ook niet bij de cloud.
Voorbeeld
Je hebt als bedrijf financieel gezien een moeilijk periode, waardoor er zich een betalingsachterstand heeft opgebouwd bij de clouddienstverlener. De clouddienstverlener besluit jouw bedrijf daarom af te sluiten van het gebruik van de cloud dienst. Jouw bedrijf komt hierdoor in grote problemen. Door hier van te voren afspraken over te maken en deze afspraken vast te leggen kan dit worden voorkomen.
Bij clouddiensten speelt de verwerking van persoonsgegevens bovendien een bijzondere rol. Wanneer de opgeslagen data persoonsgegevens bevat, zal de eindgebruiker op basis van privacy wetgeving wél moeten weten waar zijn data zich precies bevindt. De eindgebruiker is namelijk verantwoordelijk voor de bescherming van de persoonsgegevens. Het is de verantwoordelijkheid van jou als eindgebruiker om ervoor te zorgen dat de persoonsgegevens van medewerkers en klanten op een veilige manier worden opgeslagen. Bovendien zul je jouw klanten moeten kunnen informeren over door wie, op welke manier en waarom de persoonsgegevens van hen worden verwerkt. Er gelden dus voor de eindgebruiker van de cloud verschillende beveiliging en informatie verplichtingen.
Voorbeeld
Je gebruikt als bedrijf al jaren een eigen datacentrum om data op te slaan. Het toezien op de beveiliging van deze data en het informeren van jouw klanten was daarom vrij eenvoudig. Uit efficiëntie overwegingen besluit je nu gebruik te gaan maken van online clouddiensten. Op die manier heb je geen controle over de locatie en manier waarop de data worden opgeslagen. Je bent in veel grotere mate afhankelijk van de aanbieder van clouddiensten en zult hierover afspraken moeten maken.
Ondanks de afhankelijkheid van de clouddienst aanbieder, kun je je als bedrijf niet hierachter verschuilen. Als de clouddienst aanbieder niet aan de privacy wet en regelgeving blijkt te voldoen of niet waarmaakt wat contractueel is afgesproken, ben je als bedrijf zelf verantwoordelijk. Je kan aansprakelijk gesteld worden als vertrouwelijke gegevens uitlekken en het bedrijf moet dan kunnen aantonen dat het afdoende maatregelen heeft getroffen om dat te voorkomen. Je zult als bedrijf een volledige risico analyse moeten verrichten om te beoordelen of het vanuit privacy overwegingen is toegestaan om gebruik te maken van de clouddiensten.
Hoe zorg je ervoor dat je voldoet aan de privacy regels in de cloud?
Als je als bedrijf gebruikt maakt van clouddiensten dan zullen er vaak persoonsgegevens verwerkt worden via de software die in de cloud staat. Hiervoor ben je als bedrijf verantwoordelijk. De cloud aanbieder wordt onder de Wet bescherming persoonsgegevens (Wbp) gezien als ‘bewerker’ van persoonsgegevens. Deze moet er voor zorgen dat de cloud voldoende beveiligd is, zodat de persoonsgegevens worden beschermd. Toch ben jij als eindgebruiker van de cloud uiteindelijk verantwoordelijk voor de persoonsgegevens, ook als de clouddienst aanbieder een fout maakt in bijvoorbeeld de beveiliging. Je dient dus goede afspraken te maken en gedetailleerde instructies te geven aan de cloud aanbieder omtrent onder andere de beveiliging, geheimhouding en datalekken. De clouddienst aanbieder zal je bijvoorbeeld onmiddellijk van een datalek op de hoogte moeten stellen in verband met de meldplicht datalekken (waarover hieronder meer informatie). Deze afspraken dien je vast te leggen in een bewerkersovereenkomst.
Een complicerende factor van cloud computing is dat cloud computing vaak over landsgrenzen gaat. Als er door clouddienst aanbieder servers worden gebruikt die buiten de Europese Unie staan, is er sprake van ‘doorgifte naar het buitenland’. In dat geval gelden strengere eisen ten aanzien van de beveiliging en informatieverplichtingen. Je zult als bedrijf in dat geval moeten achterhalen waar de servers staan waarop de data zich bevindt. Indien de locatie van de server in een land staat dat geen ‘passend beveiligingsniveau’ biedt, dan is het vaak niet toegestaan om gebruik te maken van deze servers.
Op basis van de privacy wetgeving, mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Dit betekent dat een leverancier van clouddiensten, na beëindiging van de clouddienstverlening, alle data van jouw organisatie van zijn servers moet verwijderen. Je zult hier dus als bedrijf op toe moeten zien.
Voorbeeld
Je sluit als bedrijf een contract met een clouddienstleverancier. Om te voldoen aan de (Europese) privacy regels zul je goede afspraken moeten maken omtrent de continuïteit van de dienstverlening, beveiliging, privacy, moeten controleren of servers zich buiten de Europese Unie bevinden en toe moeten zien op verwijdering van de gegevens bij de clouddienst aanbieder bij beëindiging van de dienstverlening.
Wat zijn de gevolgen als je niet voldoet aan de privacy regels in de cloud?
De Wet bescherming persoonsgegevens (Wbp) is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens (95/46/EG). Het College bescherming persoonsgegevens (Cbp) ziet toe op de naleving van deze wet- en regelgeving. De Cbp heeft de bevoegdheid om bestuurlijke boetes op te leggen tot EUR 810.000,- of, indien dit geldbedrag geen passende straf is, 10% van de jaaromzet van een rechtspersoon bij overtredingen van de Wbp. Hierbij is van belang dat het Cbp in geval van een niet-opzettelijke overtreding een dergelijke boete niet meteen mag opleggen. Het Cbp dient in dat geval eerst een bindende aanwijzing geven, zodat de overtreding binnen een bepaalde, door het Cbp gestelde, termijn hersteld kan worden. Tegen een dergelijke aanwijzing staan bezwaar en beroep open.
Heb je een boete opgelegd gekregen van het Cbp en ben je het daar niet mee eens? Een advocaat gespecialiseerd in het bestuursrecht en IT recht kan je helpen om bezwaar te maken en zo nodig beroep in te stellen bij de bestuursrechter.
Wat zijn jouw verplichtingen als er sprake is van een data lek?
Op elk bedrijf dat persoonsgegevens verwerkt rust de meldplicht datalekken. Deze meldplicht houdt in dat een datalek tijdig gemeld moet worden bij het Cbp. Doe je dat niet, dan kun je een flinke boete van het Cbp krijgen. De boete kan oplopen tot EUR 810.000. De hoogte van de boete is uiteindelijk afhankelijk van de grootte van jouw bedrijf. Dit betekent dat het van groot belang is dat de cloud aanbieder jou op de hoogte stelt van een datalek. Uiteindelijk ben jij als eindgebruiker namelijk verantwoordelijk, ook als de cloud aanbieder niks heeft verteld.
Voorbeeld
Jouw bedrijf maakt gebruik van clouddiensten om gegevens op te slaan. Deze gegevens bestaan grotendeels uit persoonsgegevens. Na een tijd vindt er een datalek plaats bij de clouddienstleverancier. De clouddienstleverancier lost het probleem op, maar informeert jou niet. Wanneer het Cbp achter de datalek komt, wordt jij verantwoordelijk gehouden.