Cloud computing Helena Verhagen & Gert-Jan Kroese
Privacy “Better business through better privacy” Juridisch kader cloud computing
Meldplicht datalekken Tips & Tricks Vragen? 2
Privacy https://www.youtube.com/watch?v=xYZtHIPktQg
3
“Better business through better privacy”
4
Nederlands Juridisch kader Cloud
Wet bescherming persoonsgegevens (‘Wbp’) wordt
Europese Privacy Verordening (‘EPV’) Verwachte invoering: 2016 5
Juridische relaties in de Cloud Cloud Provider
Data
‘Bewerker’ ‘Betrokkene’
€ Reseller
KLANT
‘Adviseur’
‘Verantwoordelijke’
Onderzoeks- & Zorgplicht 6
Juridische aspecten cloud computing ROLLEN • Site Trend Micro: “Veiligheid in de cloud is een gezamenlijke verplichting van
de Cloudprovider en de Klant”
• Klant of de opdrachtgever van de klant is op grond van de wet verantwoordelijk voor passende technische en organisatorische maatregelen voor beveiliging persoonsgegevens – Verantwoordelijke: stelt het doel en middelen van dataverwerking vast • Klant legt deze verplichtingen deels ook op aan de Cloudprovider • Resellers hebben als “opdrachtnemer” de plicht om hun klanten volgens de eisen van goed vakmanschap te adviseren 9/10/15
Juridische aspecten cloud computing ROLLEN: Klant Passende technische en organisatorische beveiliging van persoonsgegevens. Passend: Aard van de gegevens, stand van de techniek en Kosten Niet meer gegevens gebruiken dan nodig waar mogelijk identificerende kenmerken verwijderen Toegang tot gegevens beperken bijvoorbeeld door alleen bepaalde medewerkers toegang te verlenen Moderne beveiligingstechniek gebruiken Op basis van de stand der techniek: ‘State of the Art’ Let op: Klant moet extra aandacht hebben bij internationale data transfer
Rol Klant als Verantwoordelijke voor data-opslag bij Cloudprovider Wettelijke verplichtingen ‘Verantwoordelijke’: Artikel 6 Wbp:
persoonsgegevens worden op behoorlijke en zorgvuldige wijze verwerkt Art. 13 en 14 Wbp:
de verantwoordelijke neemt passende technische en organisatorische maatregelen . . . om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. – Opnemen in contract: bewerkersovereenkomst 9/10/15
Juridische aspecten cloud computing ROLLEN: Cloudprovider Klant = “Verantwoordelijke” Cloudprovider = “Bewerker” verwerkt data in opdracht van de verantwoordelijke De Klant moet zorgen dat de data voldoende secure zijn in de cloud Actieve onderzoeksplicht Klant Contract Een goede “bewerkersovereenkomst” tussen Klant en Cloudprovider is wettelijk vereist Onderdeel van de Hostingovereenkomst 9/10/15
Juridische aspecten cloud computing ROLLEN: Reseller Reseller = ‘Adviseur’, Advies volgens de eisen van goed vakmanschap Klant mag vertrouwen op de expertise van de Reseller Als Adviseur is Reseller verplicht onderzoek te doen naar: • de behoeften van de klant • aard van de te beschermen data => bijzondere of gevoelige gegevens? • risico’s verbonden aan onvoldoende beveiliging van data • Mogelijkheid controle te houden op data • Maatregelen bij Datalekken
Kernvraag: is de aangeboden oplossing passend voor Klant?
Specifieke acties Reseller richting Klant ❖ Beveiligingsrisico’s inventariseren van soort data bij Cloudprovider
➢ Passende “technische en organisatorische maatregelen” ter voorkoming van dataverlies = preventief beleid met controles via PIA’s (privacy audits)
❖ Check continuïteit dienstverlening Cloudprovider
➢ SLA voor beschikbaarheid, back-up/storage (Redundancy), betrouwbaarheid
❖ Zijn Cloudprovider of zijn datacenters buiten EU gevestigd? ➢ Zo ja, dan gelden er strengere complexere regels
❖ Meldplicht Datalekken van kracht per 01-01-2016 ➢ is aanscherping van bestaande Wbp
Tips & To Do’s voor Reseller richting Klant Check op Technische Maatregelen: • Beveiliging => State of the Art • Inrichting Identity & Access Management • Mogelijkheid data te migreren bij einde Hosting Check op Organisatorische Maatregelen • Aanwezigheid Identity & Access Management beleid • Geheimhouding & Schriftelijke afspraak over Onderaannemers • Duidelijke retentieperiode voor data (niet langer bewaren dan nodig of toegestaan) • Data verwerken bij voorkeur alleen binnen EU of land met passend beschermingsniveau • Informeren over beveiligingsincidenten > in bewerkersovereenkomst • Meewerken bij onderzoek autoriteiten en/of verzoeken Betrokkene(n) • ISO 27018: de nieuwe privacystandaard voor de Cloud > kiezen voor certificering? 13
Meldplicht datalekken & uitbreiding boetebevoegheid Datalek: Toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Inbreuk op beveiliging persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – inbreuk op beveiligingsmaatregelen. Voorbeelden: ❖ kwijtgeraakte USB-stick met persoonsgegevens ❖ gestolen laptop ❖ inbraak in een databestand door hacker(s)
Meldplicht datalekken & uitbreiding boetebevoegheid ❖ Verantwoordelijke moet “onverwijld” melden aan de Toezichthouder (CBP) ➢ Bij inbreuk op beveiliging met aanzienlijke kans op ernstige nadelige gevolgen dan wel inbreuk die ernstige nadelige gevolgen heeft
❖ Verantwoordelijke moet onverwijld melden aan Betrokkene ➢ Inbreuk op beveiliging die waarschijnlijk ongunstige gevolgen zal hebben op betrokken individuele persoon ❖ Uitzondering: ➢ Bij inbreuk waar sprake is van versleutelde bestanden is alleen melding aan CBP nodig, niet aan betrokkene ❖ Verplichting tot bijhouden/documenteren overzicht met inbreuken ➢ inrichten en bijhouden van up to date “Privacy Boekhouding”
Getrapt beslismodel Datalekken STAP 1
Is er een beveiligingsinbreuk? Geen beveiliging = geen inbreuk
STAP 2
Is datalek uitgezonderd van de meldingsplicht?
STAP 3
Is melding aan het CBP vereist?
STAP 4
Is melding aan de betrokkene vereist?
16
Melding CBP Vraag • Wanneer is er sprake van een aanzienlijke kans op ernstige nadelige gevolgen of ernstige gevolgen? Antwoord • Aard van de data en vermoedelijk risico Verantwoordelijke: dus hangt af van de “omstandigheden van het geval” – Bij online dienstverlening (via Cloud) doet risico zich snel voor Wanneer is melding onverwijld? • Doel om onderzoek te kunnen doen • Let op: bij beursgenoteerde bedrijven is timing melding afhankelijk van financiële regelgeving Verplichting om Datalekken te documenteren • Meldingen bijhouden in up to date en controleerbaar register 17
Inhoud melding bij CBP • Aard inbreuk: een algemene omschrijving volstaat • Welke data - welke systemen – zijn getroffen • aangeven of het vertrouwelijke informatie betreft – Let op bijzondere gegevens • Geconstateerde en vermoedelijke gevolgen • Maatregelen die genomen zijn om herhaling te voorkomen
Bewerker (Cloudprovider) moet de Verantwoordelijke (Klant) in staat stellen te voldoen aan de meldplicht
Sanctie CBP op niet naleving meldplicht is maximale boete van € 810.000,= 18
Melding aan betrokkene? • Wanneer is er sprake van waarschijnlijke ongunstige gevolgen?
– Hangt af van “de omstandigheden van het geval” – Bijvoorbeeld: identiteitsfraude, verlies van financiële gegevens, aantasting eer en goede naam > bijv. Ashley Madison incident
• Hoe snel moet je de betrokkene informeren? – Onverwijld
• Inhoud melding
– Zodanig dat behoorlijke informatievoorziening is gewaarborgd – Kleine groep betrokkenen: rechtstreeks en individueel – Grote groep betrokkenen: website, krant, sociale media
• Geen melding als gegevens door versleuteling onbegrijpelijk of ontoegankelijk zijn – Maar wat als hackers encryptie omzeilen of kraken?
19
Vragen die de Reseller zich moet stellen Stap 1 Stap 2
Wat voor soort Klant is het? Welke data wil hij opslaan in de Cloud? Welke Cloudoplossing en beveiliging is “passend” voor de Klant?
Stap 3
Wat voor “technische maatregelen” biedt de aangeboden oplossing?
Stap 4
Heeft Klant voldoende “organisatorische maatregelen” genomen?
20
Dank voor uw aandacht
[email protected]
Ons Team
ANNE HOLDRINET
HELENA VERHAGEN
GERT-JAN KROESE