Volgens het college bescherming persoonsgegevens mogen bedrijven er niet zomaar vanuit gaan dat persoonsgegevens voldoende worden beschermt
Volgens het college bescherming persoonsgegevens mogen bedrijven er niet zomaar vanuit gaan dat persoonsgegevens bij clouddiensten in de Verenigde staten voldoende worden beschermd. Het CBP zegt dat zonder aanvullende maatregelen het gebruik van een clouddienst vanuit de VS niet voldoet aan de Nederlandse privacy wetgeving.
Bedrijven die een clouddienst van uit de Vs willen afnemen moge er niet blind op vertrouwen dat de Amerikaanse aanbieder van de dienst voldoet aan de Europese en Nederlandse privacywetgeving, schrijft het CBP. Het college bescherming persoonsgegevens is van mening dat de overeenkomst die de Europese Unig en de Amerikaanse autoriteiten gesloten hebben onvoldoende bescherming biedt.
Om wel aan de Europese en Nederlandse privacywetgeving te voldoen moeten er naast de safe-harbor overeenkomst aanvullende maatregelen genomen worden. Volgens het CBP moet er goed bekeken worden welke gegeven er onder welke voorwaarden bij een clouddienst in de VS opgeslagen mogen worden.
Naast een risico analyse t.o.v. de data die opgeslagen wordt moet er ook een ‘’bewerkersovereenkomst’ worden gesloten waarin verdere afspraken staan over de privacy. De leverancier van de clouddienst moet in de overeenkomst toezeggen te werken volgens de Europese richtlijken voor databeveiliging. De leverancier van de Cloud oplossing is echter niet verantwoordelijk voor de verwerking van gegevens volgens de Europese richtlijnen. De data in de cloudomgeving blijft onder de verantwoordelijkheid van het bedrijf dat de gegevens daar laat opslaan.
Het CBP publiceerde haar visie op clouddiensten vanuit de VS naar aanleiding van vragen door SURFmarket, een ict dienstverlening voor de onderwijs sector.
Bron: Tweakers
Lees ook: