Zeven fabels over cloudstorage en de AVG

Dat de Algemene Verordening Persoonsgegevens (AVG) voor iedereen verplicht wordt, is geen nieuws meer. Maar hoe kan het dat er nog zoveel vragen rondom deze nieuwe wetgeving bestaan en de meesten niet weten wat deze regels inhouden. Om meer duidelijkheid rondom deze privacywetgeving te geven, bespreek ik hieronder zeven fabels over cloudstorage en de AVG.

‘Mijn data is in de cloud versleuteld en dus kan niemand er ongeoorloofd bij.’ De term encryptie wordt vaak gebruikt om persoonsgegevens te beschermen en/of een datalek te voorkomen. Encryptie kan inderdaad een oplossing bieden, maar moet daarbij wel op de juiste manier zijn toegepast. De data kan namelijk op twee manieren worden verstuurd: ‘in transit’, wat over een beveiligde verbinding betekent, of ‘at rest’, wat inhoudt over het systeem waar de data opgeslagen wordt. Ook kan het zijn dat er een applicatie gebruikt wordt die de data versleutelt nog voordat het naar de cloud gaat.

Het is belangrijk om uzelf af te vragen wie deze encryptiesleutels beheert. En aan wie deze rechten eigenlijk worden verleend. Is er een sleutel nodig bij het opstarten van een (storage-)systeem, zoals bij het gebruik van self encrypted disks? Kortom, met alleen het gebruik van encryptie bent u er nog niet. Het kan een goed beveiligingsmiddel zijn mits het doel en de implementatie juist zijn, maar de beveiliging is niet direct gegarandeerd. Zorg er dus voor dat u deze informatie helder hebt.

‘Alleen in Nederland mogen wij data opslaan.’ Niet alleen Nederland krijgt te maken met de GDPR: elke organisatie binnen de Europese Unie moet voldoen aan de privacywetgeving, met uitzondering van de politie en justitie. Zelfs organisaties van buiten Europa die diensten in Europa aanbieden zijn verplicht om aan de nieuwe wet te voldoen. Door de harmonisering in heel de EU van het regelement in bescherming van persoonsgegevens én het vrije verkeer van gegevens maakt het dus niet uit waar de persoonsgegevens worden opgeslagen. Overal gelden dezelfde sancties bij het overtreden van de regels. Er is geen wet die voorschrijft dat de data niet in een ander land dan Nederland mag worden opgeslagen. Ook de NEN7510, BIR en BIG schrijven het niet voor.

‘Mijn data kan ik opslaan waar ik wil in de cloud.’ U bent in alle gevallen verplicht om de cloudstorageprovider te controleren op de naleving van de AVG. Waar u uw data, met specifiek daarin (bijzondere) persoonsgegevens, ook opslaat, u bent te allen tijde verantwoordelijk voor de bescherming hiervan. Andere regels zoals de BIR, BIG en NEN7510 waar uw organisatie wellicht ook mee te maken heeft gelden ook nog naast de AVG.

Belangrijk is dus om te controleren of uw storageprovider voldoet aan dezelfde normering als uw organisatie, omdat deze de verwerker is van de persoonsgegevens waar u de verantwoording over heeft. Dit kunt u controleren door bij uw provider op te vragen of zij ISAE3402 gecertificeerd zijn.

‘Mijn data in de cloud is altijd beschermd tegen virussen en ransomware.’ Onthoud dat als er toegang is tot de data, een virus ook toegang kan krijgen tot deze data. In het geval van een virus maakt het niet uit of data in het eigen datacenter of in de cloud is opgeslagen. Als een systeem (pc of server) geïnfecteerd is en een mountpoint, LUN, share of bucket in de cloud heeft, kan de data in de cloud net zo gemakkelijk worden versleuteld of corrupt worden gemaakt. De data in de cloud is dus niet automatisch beschermd tegen virussen en ransomware.

‘Als mijn data in de cloud staat is er geen back-up meer nodig.’ Tenzij de data zelf een back-up is of kopie hiervan, moet er in (bijna) alle gevallen nog steeds een back-up worden gemaakt van de data in de cloud. Vaak wordt gebruikgemaakt van oudere versies van bestanden en een prullenmand voor verwijderde items van de laatste dertig dagen. Dit alleen biedt onvoldoende bescherming om een langere periode te overbruggen. Ook is het hierbij bijna niet mogelijk om een beleid op alle gebruikers toe te passen. Meer redenen om zelf uw back-up te beheren zijn bijvoorbeeld het zelf in staat zijn te wisselen van provider en te migreren van back-updata, het gebruiken van ow back-upkopie voor disaster/recovery-doeleinden en voor search/datamining en data-analyses.

Het is belangrijk om aan te kunnen tonen welke persoonsgegevens waar bewaard worden en dat de gegevens verwijderd zijn als een persoon hierom heeft gevraagd of zodra de persoonsgegevens niet meer relevant zijn. Zonder data- of back-up-managementapplicatie is dat onhaalbaar.

‘Als ik data in de cloud bewaar heb ik geen bewerkersovereenkomst voor de AVG nodig.’ Er is een bewerkersovereenkomst nodig wanneer er data met persoonsgegevens voor verwerking uitbesteed wordt aan een bewerker. Een bewerker (of verwerker) is iemand die persoonsgegevens bewerkt ten behoeve van de verantwoordelijke, zonder rechtstreeks aan zijn of haar gezag te zijn onderworpen. Onder verwerking vallen veel handelingen met betrekking tot persoonsgegevens, bijvoorbeeld verzamelen, ordenen, bijwerken, verspreiden, samenbrengen, wijzigen, raadplegen, vastleggen, bewaren. Het bewaren en opslaan van data met persoonsgegevens vereist een bewerkersovereenkomst tussen de verwerker en de verantwoordelijke. Voor data in de cloud geldt dit dus ook.

‘Een datalek hoef ik niet te melden bij de Autoriteit Persoonsgegevens als de data in de cloud is versleuteld.’ Dit is onjuist. Het is belangrijk dat een datalek binnen 72 uur gemeld wordt bij de Autoriteit Persoonsgegevens zodra er persoonsgegevens zijn verloren of als er ongeautoriseerd toegang is verkregen tot deze gegevens. De gedupeerden moeten namelijk worden ingelicht en gewaarschuwd worden over het ongunstige feit dat hun gegevens openbaar zijn geworden. Een lek kan vervelende gevolgen hebben voor de personen waar de gegevens van gelekt zijn, ook wel de betrokkenen genoemd. De Autoriteit Persoonsgegevens kan aanwijzingen geven over het omgaan met een lek.