Volgens een rapport van Gartner zal de wereldwijde markt voor publieke cloud-diensten dit jaar met 18 procent groeien. De publieke cloud biedt bedrijven zonder twijfel legio voordelen. Zij moeten zich echter afvragen of hun cloud-omgeving wel voldoet aan de eisen van de GDPR, de algemene verordening gegevensbescherming van de EU die volgend jaar van kracht gaat.
Het kan een hele opgave zijn om vast te stellen of een aanbieder van cloud-diensten zijn GDPR-compliance op orde heeft. Om daarbij te helpen volgt hier een overzicht van belangrijke aandachtspunten.
Breng in kaart waar de data zich bevindt
Het is belangrijk om rekening te houden met het feit dat de aanpak van cloud-providers op het gebied van privacy en databescherming tot op zekere hoogte wordt ingegeven door hun locatie. Alle bedrijven die data van EU-burgers in beheer hebben of verwerken, ongeacht de locatie waar zij deze gegevens opslaan, dienen aan de eisen van de GDPR te voldoen. Dat betekent dat ook persoonlijke gegevens die buiten de EU worden opgeslagen, moeten worden beschermd met beveiligingsmechanismen die door de EU-wetgeving als ‘adequaat’ worden aangemerkt. Als een cloud-provider beweert aan de eisen van de GDPR te voldoen, maar zijn beveiligingsmechanismen niet aan de EU-normen voldoen, kan data niet in deze cloud opgeslagen worden zonder de compliance-status te verliezen.
Veel organisaties hebben hun data opgeslagen in een cloud in de Verenigde Staten, waar het Privacy Shield werd geïntroduceerd om het vereiste niveau van ‘adequaatheid’ te bieden. Dit is een overeenkomst tussen Amerika en de Europese Unie over de manier waarop persoonsgegevens worden verwerkt en beveiligd. Veel mensen plaatsen echter vraagtekens bij de Privacy Shield-certificering. Zelfcertificering zou namelijk weinig garanties bieden. Deze scepsis heeft veel Amerikaanse cloud-providers ertoe bewogen om audits door externe partijen uit te laten voeren om te waarborgen dat ze aan de eisen voldoen. Het is moeilijk om vast te stellen hoe betrouwbaar zelfcertificering is, maar als een dienstverlener voor verificatie door een onafhankelijke partij hebben gekozen, biedt die naar alle waarschijnlijkheid meer transparantie ten aanzien van GDPR-compliance.
We hebben hier duidelijk met een complexe juridische aangelegenheid van doen. Het inwinnen van vakkundig juridisch advies over databescherming in de landen waarin data ligt opgeslagen, is dan ook geen overbodige luxe voor een organisatie.
Wat een cloud-provider zou moeten bieden
Het is belangrijk om te realiseren dat als de cloud-provider/dienstverlener in kwestie niet aan de eisen van de GDPR voldoet, de desbetreffende organisatie dat evenmin doet. Hoewel sommige providers zich door een externe partij kunnen laten keuren, bestaat er geen officiële evaluatieprocedure die door de Europese Commissie is goedgekeurd. Hoewel externe verificatie een goed teken is, biedt dit geen garantie dat de cloud provider ook daadwerkelijk aan de eisen van de GDPR voldoet.
Om deze reden moet op zoek worden gegaan naar een leverancier die blijk geeft van adequate maatregelen voor databescherming. Een paar aspecten om op te letten zijn het aantal gecertificeerde medewerkers die met succes een examen voor ISO 17024-accreditatie hebben afgelegd, lidmaatschap van een branchevereniging of de ondertekening van een gedragscode, zoals die van de Cloud Infrastructure Services Providers of Europe (CISPE).
Als een cloud-provider niet in staat is om voldoende bewijs of gedetailleerde plannen voor het waarborgen van compliance te overleggen, is het een goed idee om bij een andere partij aan te kloppen.
Wie beschermt de data?
De GDPR brengt uitdagingen op het gebied van mensen, processen en technologie met zich mee. Denk dus niet dat er één oplossing bestaat waarmee alle aspecten van de nieuwe richtlijn ondervangen kunnen worden. Het verantwoordelijkheidsniveau van een cloud provider is dan ook afhankelijk van de rol die deze vervult. Zo hebben aanbieders van SaaS-oplossingen veel meer verantwoordelijkheden dan IaaS-providers. De mate van verantwoordelijkheid wordt ook ingegeven door de status die de cloud-provider krijgt toegekend volgens de definities van de GDPR. Deze kan worden geclassificeerd als data processor (verwerkingsverantwoordelijke) of data controller (gegevensbeheerder).
Hoewel veel grote cloud-providers fors investeren in hun beveiliging, kan het in het geval van een datalek moeilijk zijn om vast te stellen of de fout bij de klant of bij de provider ligt. De boetes voor niet-naleving van de GDPR kunnen oplopen tot twintig miljoen euro, of 4 procent van de wereldwijde bedrijfsomzet. Het is daarom belangrijk dat een organisatie alles doet wat in zijn vermogen ligt om ervoor te zorgen dat de data van EU-burgers zowel op locatie als in de cloud veilig blijven.
Het gebruik van een cloud-dienst ontslaat men helaas niet van de verantwoordelijkheden ten aanzien van persoonlijke gegevens op basis van de GDPR. Het motto ‘uw data, uw verantwoordelijkheid’ blijft onverminderd van kracht. Indien gebruik gemaakt wordt van een IaaS-oplossing, is de gebruiker medeverantwoordelijk voor de beveiliging. Wat de verantwoordelijkheid van de cloud-provider betreft, is er sprake van een oplopende schaal van IaaS naar PaaS en SaaS. Uiteindelijk moeten bedrijven zelf bepalen hoe zij met de persoonlijke gegevens van EU-burgers omgaan. Het is aan de organisatie om de basis te leggen voor GDPR-compliance, ook als men een expert inhuurt om daarbij te helpen.
Dit soort artikelen krijgen weinig waardering van me en ik zal uitleggen waarom.
Het is een beetje een selectie tussen kiezen wat je wilt vertellen en in mijn ogen met een 2e agenda.
“Veel organisaties hebben hun data opgeslagen in een cloud in de Verenigde Staten” Kun je dit onderbouwen? Ik heb wel statistieken waaruit blijkt dat Amerikaanse “cloud” providers dominant zijn, maar er is ook nog genoeg keuze elders en “cloud” label bepaalt dan niet de status van GDPR “compliancy”. Overigens is in mijn ogen de GDPR vrij open en staan er geen merknamen in zoals bepaalde ISO normeringen. Als ik deze gemist hebt zie ik graag de verwijzigingen.
In mijn ogen is het belangrijk om te kijken naar de geest van GDPR en dat is dat data je kinderen zijn. Deze kun je ergens onderbrengen (oppas), maar je houdt de verantwoordelijkheid. Je moet gewoon open zijn over hoe je met je data omgaat en je hebt de verantwoordelijkheid om te controleren of er goed met je data wordt omgegaan. De dominante cloud providers -ofwel de frightful five te weten : Google, Microsoft, Amazon, Apple en IBM- zijn in mijn ogen veel verder met GDPR zaken dan meeste andere bedrijven die ik ken. Zij geven zelfs ook seminars die erg goede informatie overbrengen.
Mijn punt is dat “to-cloud-or-not-to-cloud” er in deze discussie niet toe doet. Als je servers plaatst in een NL datacenter heb je nagenoeg de zelfde regels waarmee je rekening moet houden. Zoals een verwerkersovereenkomst en controleren welke maatregelen deze verwerker neemt om je data te beschermen.
GDPR gaat ook over processen en gedrag. Een Excel sheet met medewerkers data per email versturen naar een verkeerd e-mail adres is net zo goed een datalek.
In mijn ogen is het veel belangrijker om een goed verhaal te hebben bij een datalek, of als een persoon zijn toestemming intrekt zijn persoonsdata te gebruiken. Als je een goed verhaal hebt met hoe je met data omgaat, de processen met betrekking tot data goed op orde hebt qua beleid, overdraging daarvan en uitvoering, dan lijkt het me stug dat de AP tot een boete zal komen. Vergeet ook niet dat een (hoge) boete vrij lastig is in de uitvoering.
GDPR als angstmiddel vind ik een slechte zaak. Constructief, onderbouwend en positief is een veel beter middel tot informatie. Want de GDPR gedachtengoed en de uitvoering daarvan gaat nog jaren duren. Ook dat is een proces van jurisprudentie en trial and error.
Selectieve informatie en vaag blijven is niet de manier om over GDPR te communiceren zeker niets als het in feite niets toevoegd aan waar het werkelijk om draait en dat is niet de compliance, maar de verantwoordelijkheid nemen als het over persoonsdata gaat.