Zoeken
  1. Home
  2. Kennis
  3. Artikelen
  4. Privacytoezichthouders niet echt in de wolken over de cloud

Privacytoezichthouders niet echt in de wolken over de cloud

De artikel 29 werkgroep (o.m. de gezamenlijke privacytoezichthouders) heeft op 1 juli 2012 een opinie vastgesteld over cloud computing. De opinie is zeer kritisch over de risico's van cloud computing. Tegelijk biedt de opinie ook enkele concrete handvaten voor de praktijk. Cloud computing en privacyrechtCloud computing is een overkoepelende term voor allerlei ICT-diensten die gemeen hebben dat ze via het Internet worden verleend en waarbij computercapaciteit flexibel en naar behoefte kan word...
Leestijd 
Auteur artikel Mark Jansen
Gepubliceerd 04 juli 2012
Laatst gewijzigd 16 april 2018
De artikel 29 werkgroep (o.m. de gezamenlijke privacytoezichthouders) heeft op 1 juli 2012 een opinie vastgesteld over cloud computing. De opinie is zeer kritisch over de risico's van cloud computing. Tegelijk biedt de opinie ook enkele concrete handvaten voor de praktijk.

Cloud computing en privacyrecht

Cloud computing is een overkoepelende term voor allerlei ICT-diensten die gemeen hebben dat ze via het Internet worden verleend en waarbij computercapaciteit flexibel en naar behoefte kan worden ingezet, terwijl die capaciteit in de regel geleverd wordt door verschillende partijen die vaak ook nog eens gevestigd zijn op verschillende locaties.

Voor nagenoeg alle diensten die via de cloud worden geleverd geldt dat welhaast per definitie sprake is van de verwerking van persoonsgegevens. Verwerkingen van persoonsgegevens dienen te voldoen aan de criteria die zijn gesteld in de Wet bescherming persoonsgegevens. De artikel 29 werkgroep geeft opinies af over de interpretatie van begrippen in die wet (en soortgelijke wetten in andere lidstaten van de Europese Unie die ook zijn gebaseerd op de privacyrichtlijn).

De opinie van de werkgroep over cloud computing is vrij uitgebreid. In dit bericht zal ik dat ook niet alle aspecten van de opinie kunnen behandelen. Ik licht er enkele zaken uit.

Risico's cloud

De werkgroep signaleert enkele risico's die het gebruik van de cloud met zich meebrengt vanuit het perspectief van de gegevensbescherming. Het betreft de volgende risico's (samengevat in mijn woorden):

  1. Gebrek aan controle

    1. risico op vendor lock-in;

    2. risico omdat dezelfde apparatuur voor verschillende klanten wordt gebruikt;

    3. risico op in handen vallen gegevens bij buitenlandse overheden;

    4. verlies van overzicht door te veel betrokken partijen (bijv. verschillende datacentra);

    5. rechten van betrokkene lastig uit te oefenen bij groot aantal betrokken partijen;

    6. cloud aanbieder zou gegevens eenvoudig kunnen gebruiken buiten contract om.



  2. Gebrek aan transparantie

    1. risico dat voor de verantwoordelijke onbekend is welke partijen allemaal bij de verwerking betrokken zijn;

    2. verspreiding van gegevens over verschillende landen binnen de EER;

    3. risico op verzending van gegevens naar landen buiten de EER.




Overigens acht ik, kritisch beschouwd, niet ieder van deze risico's typerend voor de cloud. De risico's genoemd onder 1a, 1b, 1c en 1f bestaan volgens mij ook bij iedere andere uitbesteding van de verwerking van persoonsgegevens (1c alleen bij uitbesteding naar het buitenland). Het is mij niet duidelijk waarom deze algemene risico's die kleven aan iedere uitbesteding nu worden gepresenteerd als typerend voor cloud computing. Mogelijk dat de verklaring gezocht moet worden in het gegeven dat de werkgroep, mede gelet op de rest van de opinie, (zeer) kritisch lijkt te zijn over cloud computing.

Vergaande transparantieverplichtingen

In de opinie staan enkele (deels vergaande) informatieverplichtingen opgenomen.

Transparantie richting de betrokkene

Zo zou volgens de werkgroep iedere partij die gebruik maakt van cloud computing aan degene wier gegevens in de cloud worden verwerkt, informatie moeten geven dat er sprake is van verwerking in de cloud en welke partijen bij die verwerking betrokken zijn. Dat staat zowel op pagina 6:
Given the potential complexity of processing chains in a cloud computing environment, in order to guarantee fair processing in respect of the data subject (Article 10 of Directive 95/46/EC), controllers should also as a matter of good practice provide further information relating to the (sub-)processors providing the cloud services.

als op pagina 10-11 (hoewel het hier weer iets minder stellig staat):
The cloud client should also provide any further information such as on the recipients or categories of recipients of the data, which can also include processors and sub-processors in so far as such further information is necessary to guarantee fair processing in respect of the data subject (cf. Article 10 of the Directive).

Dat betekent dus praktisch gezien dat alle bedrijven en instellingen die gebruik maken van diensten als Google Apps of de Amazon cloud, hun klanten/medewerkers/prospects/etc. (afhankelijk wiens gegevens online worden opgeslagen) hierover moeten informeren. Tot op heden gebeurt dit naar mijn idee nog niet of nauwelijks.

Transparantie richting de gebruiker van cloud

De aanbieder van cloud diensten moet ook transparantie betrachten, want die moet volgens de werkgroep aan zijn klant kenbaar maken welke partijen (onderaannemers) hij bij de dienstverlening betrekt en waar de datacentra zijn gelokaliseerd:
Transparency in the cloud means it is necessary for the cloud client to be made aware of all subcontractors contributing to the provision of the respective cloud service as well as of the locations of all data centres personal data may be processed at.

Ook dit gebeurt in mijn ervaring tot op heden nauwelijks. Veel cloud aanbieders melden niet waar de data staat opgeslagen, laat staan welke derde partijen zij nog meer bij hun dienstverlening betrekken. Dit terwijl het inschakelen van derden volgens de werkgroep de instemming behoeft van de klant.

Verstrekkende contractuele verplichtingen

Een ander opvallend punt uit de opinie is dat volgens de werkgroep er allerlei clausules opgenomen zouden moeten worden in het contract dat wordt gesloten tussen cloud aanbieder en de cloud gebruiker. Het betreft de volgende clausules (ik citeer hier de opinie, waarbij ik her en der het citaat wat inkort):


  1. Details on the (extent and modalities of the) client’s instructions to be issued to the provider, with particular regard to the applicable SLAs (which should be objective and measurable) and the relevant penalties (financial or otherwise including the ability to sue the provider in case of non-compliance).

  2. Specification of security measures that the cloud provider must comply with, depending on the risks represented by the processing and the nature of the data to be protected (...).

  3. Subject and time frame of the cloud service to be provided by the cloud provider, extent, manner and purpose of the processing of personal data by the cloud provider as
    well as the types of personal data processed.

  4. Specification of the conditions for returning the (personal) data or destroying the data once the service is concluded. Furthermore, it must be ensured that personal data are
    erased securely at the request of the cloud client.

  5. Inclusion of a confidentiality clause, binding both upon the cloud provider and any of its employees who may be able to access the data. Only authorized persons can have
    access to data.

  6. Obligation on the provider’s part to support the client in facilitating exercise of data subjects’ rights to access, correct or delete their data.

  7. The contract should expressly establish that the cloud provider may not communicate the data to third parties, even for preservation purposes unless it is provided for in the
    contract that there will be subcontractors. The contract should specify that subprocessors may only be commissioned on the basis of a consent that can be generally
    given by the controller in line with a clear duty for the processor to inform the controller of any intended changes in this regard with the controller retaining at all times the possibility to object to such changes or to terminate the contract. (...)

  8. Clarification of the responsibilities of the cloud provider to notify the cloud client in the event of any data breach which affects the cloud client’s data.

  9. Obligation of the cloud provider to provide a list of locations in which the data may be processed.

  10.  The controller’s rights to monitor and the cloud provider’s corresponding obligations to cooperate.

  11.  It should be contractually fixed that the cloud provider must inform the client about relevant changes concerning the respective cloud service such as the implementation of additional functions.

  12. The contract should provide for logging and auditing of relevant processing operations on personal data that are performed by the cloud provider or the subcontractors.

  13. Notification of cloud client about any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation.

  14. A general obligation on the provider’s part to give assurance that its internal organisation and data processing arrangements (and those of its sub-processors, if any) are compliant with the applicable national and international legal requirements and standards.



Een dergelijk gedetailleerde lijst met verplichte clausules is opvallend, omdat dergelijke verplichtingen niet in de wet staan. De werkgroep lijkt dat ook wel te onderkennen door op te merken dat het opnemen van de extra clausules moet worden gedaan "to ensure legal certainty". In hoeverre de toezichthouders straks gaan toetsen c.q. afdwingen dat al deze clausules daadwerkelijk in contracten komen te staan is dus nog afwachten.

Standaardcontract aanbieders geen excuus

De werkgroep benadrukt bij herhaling dat de keuze om "in de cloud te gaan" de eigen verantwoordelijkheid is van de organisatie. Alle verplichtingen uit het privacyrecht rusten immers primair op de verantwoordelijke (en dat is in dit verband de organisatie die besluit zijn eigen persoonsgegevensverwerkingen uit te besteden naar een cloud provider):
The cloud client, as controller, must accept responsibility for abiding by data protection legislation and is responsible and subject to all the legal duties that are addressed in Directive 95/46/EC.

Daarbij geldt wel - en dat is volledig in lijn met eerdere opinies van deze werkgroep - dat de verantwoordelijke de beslissing over de precieze (technische) inrichting van de dienst mag overlaten aan de cloud provider. Dat betekent dus dat het niet bezwaarlijk hoeft te zijn dat gebruik wordt gemaakt van bepaalde (standaard) diensten waarvan de inrichting in feite door de aanbieder (en niet de klant) wordt bepaald.
The cloud client may task the cloud provider with choosing the methods and the technical or organisational measures to be used to achieve the purposes of the controller.

Dat doet echter niets af aan de eindverantwoordelijkheid van de verantwoordelijke dat die cloud aanbieder de dienst zo inricht dat aan alle beveiligingseisen wordt voldaan:
Article 17(2) of Directive 95/46/EC puts full responsibility on cloud clients (acting as data controllers) to choose cloud providers that implement adequate technical and organisational security measures to protect personal data and to be able to demonstrate accountability.

De werkgroep signaleert dat afnemers van cloud diensten vaak een standaardcontract krijgen voorgeschoteld, dat niet (volledig) voldoet aan de beginselen van het privacyrecht. Ook signaleert de werkgroep dat er voor afnemers vaak niet veel onderhandelingsruimte bestaat om die contracten meer uit te balanceren. Dit alles is voor de afnemers volgens de werkgroep echter geen excuus om dan toch maar genoegen te nemen met die eenzijdige contracten:
In the current cloud computing scenario, clients of cloud computing services may not have room for manoeuvre in negotiating the contractual terms of use of the cloud services as standardised offers are a feature of many cloud computing services. Nevertheless, it is ultimately the client who decides on the allocation of part or the totality of processing operations to cloud services for specific purposes; the cloud provider’s role will be that of a contractor vis-à-vis the client, which is the key point in this case. As stated in the Article 29 Working Party Opinion 1/201012 on the concepts of controller and processor, “the imbalance in the contractual power of a small controller with respect to large service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law”. For this reason, the controller must choose a cloud provider that guarantees compliance with data protection legislation.

Beveiliging ziet ook op beschikbaarheid

Een laatste punt dat ik er in dit eerste bericht even uit licht is het gegeven dat de werkgroep de beveiligingsverplichting uit de wet vrij ruim uitlegt. De privacyrichtlijn spreekt in artikel 17 (slechts) over maatregelen "om persoonsgegevens te beveiligen tegen vernietiging (...), tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang (...), dan wel tegen enige andere vorm van onwettige verwerking.

Uit die beveiligingsverplichting lijkt de werkgroep de verplichting c.q. het nadrukkelijke advies (het werkwoord should is ambivalent in dezen) af te leiden dat afspraken zouden moeten worden gemaakt over de continuiteit en beschikbaarheid van de cloud service:
Data controllers should check whether the cloud provider has adopted reasonable measures to cope with the risk of disruptions, such as backup internet network links, redundant storage and effective data backup mechanisms.

Ook de verplichting c.q. het nadrukkelijk advies om te onderzoeken of de cloud provider een interoperabel bestandsformaat gebruikt wordt door de werkgroep afgeleid uit voornoemde beveiligingsverplichting:
The cloud client should check whether and how the provider guarantees the portability of data and services prior to ordering a cloud service.

Slotopmerking

Deze tips c.q. verplichtingen zijn wat mij betreft zinnig (evenals diverse andere tips in de opinie), hoewel een deel van de tips soms een wat hoog "open deuren intrappen"-gehalte heeft. Het is echter de vraag of de werkgroep de diverse, in vrij algemene termen gestelde, begrippen uit de privacyrichtlijn soms niet wel erg ruim of zelfs te ruim uitlegt. Het is ook nog maar de vraag of een rechter in een specifiek geval de wet net zo ruim zou uitleggen.

Ook lijkt de opinie op sommige punten wel erg ver af te staan van de reeds gegroeide praktijk en het is dan ook maar de vraag of het reeel is te veronderstellen dat de praktijk zich iets aan deze opinie gelegen zal laten liggen. Wat er ook van zij, deze opinie is wat mij betreft in ieder geval verplichte kost voor iedereen die zich met cloud computing bezighoudt. Tot zover deze eerste vluchtige analyse na een eerste blik op de opinie, mogelijk binnenkort meer.
Beoordeel dit artikel
Deel of print
Dirkzwager maakt gebruikt van cookies

Deze website plaatst functionele en analytische cookies, waarmee we onze site gebruiksvriendelijker maken. U blijft anoniem. Cookies van derden plaatsen we niet zonder uw toestemming. Klik op 'voorkeuren instellen' om uw voorkeuren aan te geven.

Prestatiecookies
Mediacookies
Marketingcookies