Hoewel de Autoriteit Persoonsgegevens sinds 1984 in ons land actief is, zijn veel ondernemers pas enkele jaren bewust gaan nadenken over de verantwoordelijkheid inzake opslag van persoonsgebonden data. Dit inzicht heeft te maken met de toenemende verspreiding van data via grensoverstijgende computernetwerken (bijvoorbeeld cloud-applicaties) en de controle daarop vanuit overheidsinstellingen.
Binnen de EU gelden de regels van de GDPR (AVG), de Europese wetgeving die moet waarborgen dat de persoonsgegevens van EU-ingezetenen op ordelijke wijze wordt verwerkt met onder meer het recht op inzage en eventueel verwijdering. Kort door de bocht kan je stellen dat de Autoriteit Persoonsgegevens (AP) gemachtigd is om bij elke onderneming te controleren of die zich aan de GDPR-richtlijnen houdt en zo niet om sancties op te leggen in de vorm van boetes.
Cloudmigraties
Nu zal menig mkb’er denken: die AP heeft voor het uitvoeren van haar controlerende taak veel te weinig capaciteit, dus kijkt ze alleen naar de grote organisaties. Die redenering houdt geen stand. Juist de grote organisaties steken veel tijd en middelen in het afdoende beveiligen van hun persoonsgebonden data overal op de wereld.
Daarnaast zien we dat met de automatiseringsslag die momenteel binnen het mkb-segment gaande is, veel kleinere bedrijven hun it-voorzieningen naar de cloud migreren en daar veelal door Amerikaanse dienstverleners en softwarepartijen worden bediend. Over de manier waarop we met persoonsgebonden data moeten omgaan, wordt in Europa en de VS verschillend gedacht. De overheid in de VS heeft veel meer bevoegdheid om in de persoonsgebonden gegevens rond te neuzen. Dus is het toch raadzaam om als Nederlandse mkb-ondernemer eens stil te staan op welke locatie jouw bedrijfsdata wordt bewaard.
Veilige haven
Ooit konden de EU en de VS elkaar vinden in het zogeheten Safe Harbour-verdrag, waarbij beide machtsblokken gezamenlijke regels hanteerden voor het bewaren van persoonsgebonden data. De Oostenrijkse advocaat Max Schrems toonde als individueel burger feilloos aan dat het verdrag geen enkele garantie bood dat de data van EU-ingezetenen, opgeslagen in de VS, niet onder ogen van derden zou kunnen komen. Spoedig volgde er een reparatie in de vorm van het zogeheten Privacy Shield, een zelfcertificerend systeem dat een Amerikaans bedrijf in staat stelt een certificaat op te stellen. Het certificaat vormde het bewijs dat de persoonsgebonden data conform de GDPR-regels was opgeslagen. Ook van dit systeem maakte Schrems gehakt.
Juridische weg
Er bestaat op dit moment dus geen formele afspraak tussen de EU en de VS over de opslag van persoonsgebonden data. Er is wel weer één in de maak, maar er is nog geen zicht op wanneer die in werking gaat treden. Het mkb-bedrijf, dat zakendoet met onder meer bedrijven in de VS of een Nederlandse vestiging van een Amerikaanse onderneming, die van hieruit afnemers in de EU bedient, kan besluiten helemaal niets te doen tot op het moment dat het nieuwe verdrag er is. Of kan proactief aan de gang gaan met een juridisch instrument aangeduid als Standard Contractual Clausus, een lappendeken van contracten plus aanvullende maatregelen voor het waarborgen van de dataopslag. Dit scenario vereist veel juridische expertise en is daardoor zeer kostbaar.
Eigen dossier aanleggen
Ik adviseer een proactieve houding, maar dan goedkoper. Als eerste zorg ervoor (waar mogelijk) dat de bedrijfsdata worden opgeslagen binnen de EU (inclusief het Verenigd Koninkrijk, Zwitserland en Noorwegen). Ga in gesprek met de cloudpartner over de omgang met (privacy)gevoelige data en persoonsgegevens. Leg die afspraken vast in een dossier, benoem de risico’s en de genomen maatregelen om die te minimaliseren. Daarmee breng je de problematiek in kaart. Je kunt jezelf verantwoorden naar je klanten en de AP.
Voor de verdere verantwoording naar de AP is het bovendien van belang dat het privacydossier op orde is. Denk aan het hebben van een register, beleid en verwerkersovereenkomsten. Dit is de basis die voor elke organisatie. Tot slot is het belangrijk om dit niet slechts eenmalig ‘af te vinken’ (it staat nooit stil), maar op te nemen in procedures/werkwijzen en medewerkers bewust te maken op dit vlak. Alleen dan ben je als organisatie structureel bezig om compliant te zijn en te blijven.
Compliance regels dwingen als eerste tot een classificatie van de data, de rechtmatigheid van opslag betreft niet alleen de cloud als we kijken naar AVG/GDPR. Het zou dan ook mooi zijn als er bewust over de verantwoordelijkheid inzake de opslag van (persoonsgebonden) data nagedacht wordt. Hoor Henri namelijk al roepen dat het probleem niet alleen de cloud is. Leuke hierin zijn de lappendekens van contracten – lees de verwerkersovereenkomsten – plus de aanvullende maatregelen waardoor de compliance cost vaak hoger zijn dan Dino zijn zin te geven door alles on-prem te houden. Dus nadat je weet WAT je op mag slaan kun je nadenken over WAAR je het opslaat want de cloud is een optie maar niet de goedkoopste.
Oja, het fenomeen van Shadow IT betreft alle niet gecontracteerde IT oplossingen die stilletjes door de business zijn geadopteerd. Als je een DPO slapeloze nacht wilt bezorgen dan moet je eens wijzen op al die ‘dark data’ waarin niet alleen persoonsgebonden informatie zit. Want wat betreft het delen van allerlei bedrijfsgegevens is bedrijfsspionage het nieuwe verdienmodel. Amazon c.s. weten beter wat de omzet is dan de belastingdienst doordat de metadata waardevoller is dan de data zelf. Ik las dat NCSC de kans klein acht dat de Amerikaanse overheid meekijkt maar hoe zit het eigenlijk met de Nederlandse overheid?
Als Nederlandse mkb-ondernemer is het dan ook goed om eens stil te staan op welke locatie jouw bedrijfsdata wordt bewaard. Vooral de bedrijfsadministratie is interessant want de cloud kent meer risico’s dan technische als we kijken naar noodzaak van dataportabiliteit vanuit de continuïteit. Ik vraag me dan ook af welke boete hoger is, die van de AP of van de belastingdienst. Want laatste is
om een andere redenen dan Amazon geïnteresseerd in de omzet. Maar misschien dat Henri hier wat over kan zeggen, hij geloofde tenslotte heilig in de wonderen van de cloud als het ging om groei. Ik ben door ervaringen daarin wat sceptisch want zonder een goede escrow regeling heb je niks aan de dataportabiliteit als het om de continuïteit van de bedrijfsvoering gaat.
Een bak data zonder de bijbehorende services om deze toegankelijk en begrijpbaar te maken gaat om de service delivery modellen welke nog niks zeggen over de plaatsing van data. Zo kan ook de Nederlandse aanbieder gebruik maken van Amerikaanse diensten, de gemiddelde mkb-ondernemer is namelijk opportuun als het om de verantwoordelijkheid inzake de opslag van (persoonsgebonden) data gaat. Dus ja, het is goed om te wijzen op de compliance maar het is te kortzichtig om hierin de zwarte piet alleen bij de Amerikaanse cloud providers te leggen.
Ach,
https://www.security.nl/posting/775917/Duitse+toezichthouders:+gebruik+Microsoft+365+in+strijd+met+privacywetgeving
en
https://www.security.nl/posting/775871/Minister+wil+opslag+Nederlandse+studentgegevens+in+Amerikaanse+cloud+niet+verbieden
geven heel goed weer hoe er in NL gedacht en gehandeld wordt met andermans (persoons) data en het afwentelen van verantwoordelijkheden.