Cloud Computing en GDPR: wat je moet weten

De regels voor databescherming, vastgelegd in de GDPR, gelden ook voor data die je in de cloud bewaart. En ook via de vele cloud computing services waarvan je gebruik maakt. Wat houdt dit in, en welke maatregelen moet je nemen?

Download ons gratis e-book 'Hoe kies ik de juiste cloud oplossing'

GDPR: de principes

Cloud computing en GDPROm de privacy van de burger beter te beschermen in dit internettijdperk, heeft de EU in 2018 de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Deze set regels, ook bekend onder zijn Engelse naam GDPR (General Data Protection Regulation) legt de regels voor de verwerking van persoonsgegevens  vast.

De wetgeving, die in België sinds 25 mei 2018 van toepassing is, kan je als volgt samenvatten:

  • De burger moet toestemming geven tot het verwerken van zijn gegevens; hij krijgt bovendien het recht op inzage en correctie van die gegevens, en mag ze in bepaalde omstandigheden laten verwijderen.
  • Bedrijven mogen enkel gegevens verzamelen die zij nodig hebben voor hun werking, en dat voor de tijd die nodig is - daarna moeten de data verwijderd worden.
  • Bovendien moeten bedrijven de gegevens veilig bewaren en de gebruiker zo snel mogelijk verwittigen bij een inbreuk (lek, ongeoorloofde toegang, diefstal, …)
  • Houden bedrijven zich niet aan deze wetten, dan kunnen zij een fikse boete oplopen (2 tot 4% van de omzet, tot 20 miljoen euro).

Meer over deze regelgeving lees je in: GDPR, wat moet je weten als Combell-klant

GDPR telt ook bij de verschillende vormen van cloud computing

Cloud computing vormen en GDPRWellicht heb jij, zoals de meeste andere bedrijven, ondertussen je intern beleid volledig aangepast om te voldoen aan deze wetgeving. Maar heb je ook aan je cloud computing gedacht? Want ongetwijfeld maak ook jij gebruik van cloud computing binnen je bedrijf.

Bedrijven staan hier te weinig bij stil. Recent onderzoek toont aan dat het gemiddelde Europese bedrijf gebruik maakt van maar liefst 608 cloud apps - maar dit getal met 90% onderschat. Hoe kunnen bedrijven die cloud-apps gebruiken dan ooit hopen dat zij volledig GDPR-compliant zijn?

Dus zeg niet te snel dat jij niet mee doet aan cloud computing. Want wellicht vergis je je. Ongetwijfeld maak ook jij gebruik van diensten zoals Dropbox, WeTransfer, Salesforce, OneDrive. Deze cloud apps slaan data van jouw bedrijf, jouw personeelsleden, jouw gebruikers in de cloud op. En dus is GDPR van toepassing.

Of denk bijvoorbeeld aan de hosting van je website of applicatie, maar ook de vele cloud services die de laatste jaren opgang maken. In ons artikel Cloud computing, wat kan het voor jou betekenen? gaan wij dieper in op alles wat onder cloud computing valt.

Denk eraan: als bedrijf moet je niet alleen nagaan of je eigen structuren aan de GDPR-wetgeving voldoen, maar ook die van je partners en (app)-leveranciers. Wij staan even stil bij de twee belangrijkste cloud-modellen waarbij GDPR een belangrijke impact heeft: cloud computing in het algemeen, en cloud apps in het bijzonder.

 

Als bedrijf moet je niet alleen nagaan of je eigen structuren aan de GDPR-wetgeving voldoen, maar ook die van je cloud-partners en -leveranciers.

 

GDPR en cloud computing: hiermee moet je rekening houden

Wanneer jij een overeenkomst afsluit met een cloud service provider (CSP), voor het leveren van een dienst, dan moet je nagaan of de volgende aspecten in die overeenkomst (gebruiksvoorwaarden, Service Level Agreement, ….) behandeld worden. Even ter herinnering: bij de relatie tot je CSP ben jij de verwerkingsverantwoordelijke of controller, en jouw CSP is de processor of verwerker van data.

  1. Dataretentie: data mogen niet langer dan nodig bewaard blijven. Maar omgekeerd is voor sommige sectoren een bepaalde bewaardatum juist verplicht. Kijk dus na welke retentieperiode jouw CSP hanteert. Vergeet daarbij niet rekening te houden met de back-ups: ook daar moeten de data verwijderd worden.
  2. Meldingsplicht voor inbreuken: de GDPR bepaalt wat als een inbreuk beschouwd wordt op de verzameling, bewaring en verwerking van data, maar het is belangrijk dat jouw CSP vermeldt welke procedure hij volgt om jou te verwittigen wanneer een inbreuk vastgesteld wordt (bijvoorbeeld diefstal of lek). Zorg ervoor dat jij de controle over externe communicatie in handen hebt, zodat jij je gebruikers en de overheden verwittigen kan, vooraleer de inbreuk breeduit in de pers verschijnt.
  3. Datasoevereiniteit: alle data van Europese burgers moeten ofwel bewaard worden in de EU, zodat zij onder de Europese wetgeving op de privacy vallen, ofwel op een plek waar eenzelfde niveau van bescherming gewaarborgd wordt. Maak dus afspraken met je CSP over de locatie van je data. Is dat een plek waar datasoervereiniteit niet gewaarborgd is, is het aan jou om passende maatregelen te nemen om de privacy van de gegevens te verzekeren.
  4. Overdraagbaarheid: jouw gebruikers hebben, als data-subjecten, het recht om hun data in te zien en te laten verwijderen. Jouw cloud provider moet dit faciliteren door deze data in een gestructureerd formaat ter beschikking te stellen van jou en/of je gebruiker.
  5. Eigendom: als controller moet jij te allen tijde eigenaar blijven van je eigen data en er de controle over behouden.
  6. Risk management: je CSP kan beschikken over een Data Protection Impact Assessment (DPIA) die bepaalt welke risico's er aan de cloud hosting of service verbonden zijn, maar dat is niet verplicht.
  7. Metadata: vraag welke metadata je CSP verzamelt, en of je een opt-out recht hebt.
  8. Beveiliging: jij hebt uiteraard geen controle over de IT-omgeving van je CSP. Maar toch moet jij, als controller, kunnen bepalen in hoeverre de CSP kan beantwoorden aan jouw vereisten voor beveiliging. De volgende bewijsstukken tonen aan dat je Cloud Service Provider voldoet aan de vereisten voor beveiliging en Privacy by Design:

- De resultaten van een uitgevoerde DPIA (Data Protection Impact Assessment)

- Een ISO 27001 certificering (information security management system)

- Een ISO 27018 certificering (gedragscode voor bescherming van persoonlijk identificeerbare informatie -PII) in publieke clouds die als PII-verwerkers optreden)

Opmerking: Combell voldoet momenteel aan deze vereisten en zal later dit jaar ook ISO 27701 gecertificeerd zijn, de norm die vanaf najaar 2020 de huidige ISO27018 vervangt.

GDPR en het gebruik van cloud services

Ook voor het gebruik van cloud apps ben je verplicht om de nodige voorzorgen te nemen om te voldoen aan de GDPR-regelgeving. Volg deze praktische tips:

  1. Overzicht: maak een duidelijke lijst met alle cloud-apps en diensten die jij gebruikt in je bedrijf. Ga na waar zij elkaar overlappen en beperk het gebruik tot de meest efficiënte apps.
  2. Locatie van de data: ga na waar deze apps jouw data bewaren. Let op: de hoofdzetel van de leverancier is zelden de plek waar je data gehost worden. Bovendien kunnen data over verschillende datacenters verspreid zijn.
  3. Beveiliging van data tegen verlies, wijziging of ongeoorloofde verwerking. Ga na of de apps aan beveiligingsstandaards beantwoorden.
  4. Verwerkingsovereenkomst: beperk het gebruik van cloud-apps tot die apps die je echt nodig hebt en die aan de bovengenoemde vereisten beantwoorden. Sluit met de leverancier een verwerkingsovereenkomst die waarborgt dat hij GDPR-compliant is. Uiteraard is dat geen garantie dat dit werkelijk zo is - papier is nu eenmaal geduldig. Maar deze overeenkomst toont alvast jouw goede intentie om je data te beschermen. Zorg ervoor dat de overeenkomst volgende bepalingen bevat:

- Enkel de nodige data: de app-provider mag enkel de persoonlijke data van jouw gebruikers of medewerkers verzamelen die nodig zijn voor de werking van de app. Let vooral goed op met het verzamelen van 'gevoelige' gegevens zoals ras, etniciteit, politieke overtuiging, religie, …

- Beperkt gebruik: de data mogen enkel gebruikt worden in het kader van de app en mogen niet met derden gedeeld worden.

- Eigendom: de gebruiker blijft eigenaar van zijn data.

- Overdraagbaarheid: de app-provider voorziet een procedure voor inzage door de gebruiker van de over hem verzamelde data.

- Verwijdering van data: alle data worden onmiddellijk verwijderd wanneer jij het gebruik van de dienst stopzet.

Het volgen van deze regels vergt wel even wat werk in een beginperiode, maar is de moeite waard. Jij kan immers aan je gebruikers aantonen dat je GDPR-compliant bent, wat het vertrouwen in jouw bedrijf zal stimuleren. En vergeet niet dat de boetes bij inbreuken niet van de poes zijn!

 

Combell als Cloud Service Provider

Met Combell als partner voor je cloud zit je goed. Combell is immers niet enkel ISO 9001 gecertificeerd, het bezit sinds 2011, als eerste Belgische hoster, het ISO 27001:2013 certificaat, behaald na een uitgebreide externe audit op het gebied van Security Management. Onze ijzersterke waarborgen in de Service Level Agreement die wij met onze klanten afsluiten voor cloud hosting of andere cloud diensten, omvatten ook de verschillende GDPR-vereisten. Toch nog vragen? Onze experten staan klaar om je te antwoorden!

Contacteer onze cloud experten