Cloud computing: het juridisch kader
Auteur: Willem-Jan van Elk en Miranda van Elswijk
Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd. Onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing, maar hebben vragen over de juridische aspecten ervan. Gegevens in de cloud Het gebruik van clouddiensten brengt met zich mee dat uw gegevens ‘in de cloud’ staan. Dat geeft – terecht – aanleiding tot een aantal vragen op juridisch gebied. De situatie is niet eenvoudig: bij cloud computing gaat het vaak om buitenlandse spelers, waardoor zowel regelgeving uit Nederland, Europa als daarbuiten van toepassing is. Er is nog maar weinig jurisprudentie op dit gebied en wetgeving is nog steeds in ontwikkeling. Dat neemt niet weg dat uw gegevens beschermd moeten zijn. Privacy is een fundamenteel recht dat nauw verbonden is met persoonlijke vrijheid. Het omvat de zogeheten informationele privacy: het recht op gegevensbescherming. Handvest en dataprotectierichtlijn Het Handvest van de Grondrechten van de Europese Unie, dat bindend is voor de Europese Unie en haar lidstaten, definieert onder meer: “Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.” Het recht op gegevensbescherming in het Handvest is uitgewerkt in verschillende richtlijnen, waaronder de zogeheten Dataprotectierichtlijn (95/46/EG ). Deze richtlijn bevat: 1. Algemene regels voor de rechtmatigheid van de verwerking van persoonsgegevens; 2. Regels voor de verwerking van bijzondere (gevoelige) gegevens; 3. Regels betreffende de doorgifte van gegevens naar derde landen (landen buiten de Europese Unie). De lidstaten zijn verplicht de richtlijn om te zetten in nationaal recht. In Nederland is dat de Wet bescherming persoonsgegevens (Wbp; hierover later meer), die slechts marginaal afwijkt van de Richtlijn. De dataprotectierichtlijn bepaalt dat de locatie van de vestiging van de verantwoordelijke doorslaggevend is voor het van toepassing zijn er van (anders dan vaak wordt gedacht is dus niet de locatie van de gegevens bepalend). Hierin is de ‘verantwoordelijke’: “de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. De ‘vestiging’ is de zetel van de persoon en niet de locatie van de IT-faciliteiten die voor de verwerking van persoonsgegevens worden gebruikt. Hoewel dus de locatie van gegevens in beginsel niet bepalend is voor de toepasselijkheid van de Wbp, is het toch noodzakelijk dat onderwijsinstellingen rekening houden met de locatie waarnaar persoonsgegevens doorgegeven en verwerkt worden in het kader van cloud computing. Als de vestiging van de verantwoordelijke zich binnen een EU-lidstaat bevindt, is de richtlijn – en daarmee de Wbp – van toepassing, ook al bevinden de IT-activiteiten en faciliteiten zich buiten de Europese Unie. Wel is het zo dat in dat geval óók andere regelgeving van kracht kan zijn! Wanneer bijvoorbeeld gegevens zijn opgeslagen in een datacenter op Amerikaans grondgebied, is bijvoorbeeld de USA Patriot Act (zie kader) van toepassing; deze wet heeft als doel om de Amerikaanse overheid meer mogelijkheden te geven om informatie te verzamelen over en op te treden in geval van mogelijk terrorisme. Ook als de vestiging van de service provider zich buiten Nederland bevindt, maar de verwerking wèl gebruik maakt van al dan niet geautomatiseerde middelen die zich binnen Nederland bevinden is de Wbp van toepassing. Omdat ook cookies onder het begrip geautomatiseerde middelen vallen, is de Wbp vrijwel zeker ook van toepassing op de cloud diensten van een service provider buiten de Europese Unie.
2
Wet bescherming persoonsgegevens De Wbp is van toepassing bij (geheel of gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens. In de praktijk betekent dit dat de Wbp ook van toepassing is op cloud computing in het onderwijs. Voor de toepasselijkheid en reikwijdte van de Wbp zijn twee kernbegrippen van belang: • verwerking: in beginsel iedere handeling die op gegevens kan worden uitgevoerd. Dit is een breed begrip dat alles omvat, van creatie tot en met de vernietiging van gegevens. • persoonsgegeven: een gegeven dat een natuurlijk persoon identificeert of mogelijk kan identificeren. Ook dit begrip kent een brede uitleg. Het gaat om zowel objectieve informatie (feiten) als subjectieve informatie (meningen en oordelen). En zowel om directe identificatie (bijvoorbeeld de persoonsnaam) als om indirecte identificatie (bijvoorbeeld identificatienummer of IP-adres). Veel gegevens zijn dus persoonsgegevens, ook e-mailadressen en de meeste emailberichten. De Wbp bepaalt dat persoonsgegevens worden verwerkt in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze. Dit betekent onder meer dat: • gegevens alleen verzameld mogen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden; • er een zogeheten legitieme verwerkingsgrond moet zijn (het uitvoeren van een onderwijsovereenkomst is zo’n verwerkingsgrond); • de gegevens aan kwaliteitseisen moeten voldoen (zo moeten gegevens toereikend, ter zake dienend, niet bovenmatig, juist en nauwkeurig zijn met het oog op de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt). Daarnaast kent de Wbp een beveiligingsverplichting. Indien de verantwoordelijke een zogeheten bewerker inschakelt draagt de verantwoordelijke de zorg dat deze op de juiste wijze invulling geeft aan deze verplichting . Een bewerker is “degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.” Het belangrijkste verschil met de verantwoordelijke is dat de bewerker niet de doelen en middelen voor de verwerking van persoonsgegevens bepaalt, maar slechts in opdracht van de verantwoordelijke persoonsgegevens verwerkt. Indien een bewerker wordt ingeschakeld, moet de verantwoordelijke zorg dragen dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Ook geldt voor de verantwoordelijke een informatieplicht: de verantwoordelijke moet de betrokkene informeren over zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, alsmede nadere informatie verstrekken voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. (De betrokkene is degene op wie een persoonsgegeven betrekking heeft.) Naast plichten voor verantwoordelijken, formuleert de Wbp ook enkele rechten van betrokkenen, zoals een recht op toegang tot de eigen gegevens, een recht om gegevens te rectificeren, te wissen, af te schermen en het recht zich te verzetten tegen de verwerking van persoonsgegevens. De Wbp kent bepalingen voor bijzondere persoonsgegevens: persoonlijke gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en betreffende het lidmaatschap van een vakvereniging. Doorgaans zal een onderwijsinstelling slechts in beperkte mate te maken krijgen met de verwerking van bijzondere persoonsgegevens. Gegevens naar het buitenland De Wbp bepaalt dat persoonsgegevens slechts aan landen buiten de Europese Unie mogen worden doorgegeven indien deze landen een ‘passend beschermingsniveau waarborgen’. De Europese Commissie bepaalt formeel of een land een passend beschermingsniveau kent en plaatst deze op
3
een witte lijst. Op deze lijst staan landen als Australië, Canada en de Verenigde Staten. Voor de VS gaat het daarbij om organisaties die voldoen aan de Safe Harbor principes (zie kader De Safe Harbor principes zijn bedoeld voor Amerikaanse bedrijven die zaken doen met organisatie binnen de Europese Unie. Amerikaanse bedrijven die beschikken over een Safe Harbor certificaat worden verondersteld een passend beschermingsniveau te bieden. Wanneer een Nederlandse organisatie een clouddienst afneemt van een service provider in een van deze landen op de witte lijst van de Europese Commissie, is de Wbp van toepassing. In de praktijk zal het echter moeilijk zijn dit recht af te dwingen of handhaving te verlangen. Bij een service provider buiten de Europese Unie die persoonsgegevens zal (laten) verwerken in derde landen, is het daarom verstandig om essentiële gegevensbeschermingsregels op te nemen in een contract. Een contract is juridisch bindend tussen partijen, zodat deze regels ook in het buitenland juridisch afdwingbaar zijn. Contract Een contract kan de rechten en plichten uit de Wet bescherming persoonsgegevens (Wbp) niet terzijde schuiven. Privacybescherming wordt gezien als een recht dat onlosmakelijk met de persoonlijkheid van het individu is verbonden. Daarmee gelden de voorschriften van de Wbp als dwingend recht, wat betekent dat partijen daar in principe niet door middel van een overeenkomst van kunnen afwijken. Het is belangrijk dat de onderwijsinstelling die gebruik maakt van een clouddienst, een contract afsluit met de service provider. Dat is de juridische entiteit die de clouddienst aanbiedt. In het contract staan afspraken over het gebruik van de dienst en de voorwaarden (kosten, service levels) waaraan dit gebruik is gebonden. Bij cloud computing is er vaak een complexe verdeling van rollen en verantwoordelijkheden. Kleine wijzigingen in de feitelijke situatie kunnen mogelijk grote gevolgen hebben voor de verdeling van rollen en verantwoordelijkheden. Het is daarom verstandig rollen, doelen en middelen uitdrukkelijk en duidelijk vast te leggen gelegd in een contract.
TILT formuleert een aantal aandachtspunten bij het afnemen van clouddiensten: 1. De locatie waar gegevens worden verwerkt of opgeslagen is niet bepalend voor het toepasselijke recht. In de praktijk is de Wbp altijd van toepassing. 2. De lokatie van de opgeslagen gegevens kan wel een rol spelen in de handhaafbaarheid van het EU-recht, of voor de mogelijkheid voor buitenlandse autoriteiten om gegevens op te vragen. 3. Het Safe Harbor-programma lijkt onvoldoende bescherming te bieden.. 4. Onderwijsinstellingen zullen veelal als verantwoordelijke aangemerkt kunnen worden, en daarmee gebonden zijn aan de rechten en plichten van de Wbp. 5. Verantwoordelijken moeten bedacht zijn op bijkomende regels wanneer bijzondere gegevens verwerkt worden, of wanneer gegevens doorgegeven worden aan derde landen. 6. Cloud computing-configuraties kennen vaak een complexe verdeling van rollen en verantwoordelijkheden. Het is daarom verstandig rollen, doelen en middelen uitdrukkelijk en duidelijk vast te leggen in een contract. 7. Contracten kunnen de rechten en plichten uit de Wbp niet terzijde schuiven. 8. De service provider zal zoveel mogelijk verantwoordelijkheden uitsluiten of beleggen bij de onderwijsinstelling. Met name om plichten die volgen uit de relatie met de eindgebruiker, zoals het verkrijgen van de toestemming van de student (ouder) voor bepaalde verwerkingen. 9. Ook de verantwoordelijkheid voor het gebruik van clouddiensten door eindgebruikers (studenten) kan door service providers contractueel worden ´neergelegd´ bij de onderwijsinstellingen: scholing en richtlijnen over hoe studenten de clouddiensten al dan niet mogen gebruiken kan dan van wezenlijk belang zijn. 10. Aangezien service providers over het algemeen grote en machtige partijen zijn, kan het nuttig zijn als onderwijsinstellingen gezamenlijk onderhandelen over betere privacybescherming.
4
Meer informatie Dit artikel is gebaseerd op het rapport ‘De Wolk in het onderwijs’, een publicatie uit het SURFnet/Kennisnet Innovatieprogramma en de ‘Checklist Cloud Security’ van SURFnet. Met het SURFnet/Kennisnet Innovatieprogramma geven SURFnet en Kennisnet een gezamenlijke impuls aan ICT-vernieuwing in het gehele onderwijs. SURFnet en Kennisnet willen bewustwording creëren in het onderwijsveld over de ontwikkelingen, mogelijkheden en toepassingen van cloud computing en bovendien inzichtelijk maken wat de meerwaarde van cloud computing voor het onderwijsveld is. Kijk op www.surfnetkennisnetproject.nl/innovatie/cloudcomputing voor meer informatie over cloud computing. Zo kunt u hier de publicaties ‘Cloud computing in het onderwijs’, ‘Dataportabiliteit voor Cloud Computing’ en ‘De Wolk in het onderwijs’ gericht op de juridische aspecten van cloud computing downloaden. Ook vindt u hier de publicatie ‘Checklist Cloud Security’ van SURFnet.
De USA PATRIOT Act: vordering van (persoons)gegevens Met deze federale anti-terrorismewet kan de Amerikaanse overheid gegevens vorderen bij partijen die hun gegevens opslaan in de Verenigde Staten. Dit kan gebeuren zonder toestemming of wetenschap van betrokkene en met slechts een beperkte gerechtelijke toetsing. Het gaat daarbij met name over verkeersdata, en in bepaalde gevallen ook de inhoud van communicatie. Ook verkeersgegevens kunnen echter persoonlijke gegevens bevatten, zoals e-mailadres, surfgedrag, IP-adres, enzovoort. Op basis van de USA PATRIOT act zijn in januari 2011 gegevens gevorderd bij de clouddienst Twitter van de Nederlandse Rop Gonggrijp en andere WikiLeaks-vrijwilligers. Eveneens in januari 2011 gaf de hoofdjurist van Google Benelux aan dat Google, ondanks eerdere beloften, nadrukkelijk niet kan garanderen dat zij persoonsgegevens binnen Europa zal opslaan. Microsoft en Amazon doen dit wel, maar het is niet duidelijk of de PATRIOT Act dan van toepassing is. Safe Harbor: onvoldoende garanties Europese bedrijven die persoonsgegevens willen doorgeven aan Amerikaanse bedrijven, mogen dat doen indien het bedrijf over een zogeheten Safe Harbor-certificaat beschikt. De Europese commissie heeft de Safe Harbor op de witte lijst geplaatst van landen en organisaties die een ‘passend beschermingsniveau waarborgen’. Inmiddels is echter duidelijk geworden dat er veel fraude plaatsvindt met de Safe Harbor-certificaten en dat deze dus onvoldoende waarborgen biedt. Uit onderzoek van het Australische bureau Galexia bleek dat veel bedrijven met het Safe Harbor-certificaat niet aan alle voorwaarden daarvoor voldoen. Ook bleek dat veel organisaties die het certificaat beweren te hebben zelfs niet eens bij Safe Harbor zijn geregistreerd. Dit is mogelijk omdat Safe Harbor een systeem van zelfregulering is, met een onvoldoende juridische basis. De Amerikaanse overheid oefent ook geen toezicht uit op de naleving van de Safe Harbor principes. Europese regelgeving: roep om aanscherping Eurocommissaris Neelie Kroes waarschuwde eind 2010 al voor de privacyrisico’s bij het gebruik van clouddiensten en pleitte voor strengere regels voor grensoverschrijdend gegevensverkeer. Naar aanleiding van het opvragen van Twittergegevens van WikiLeaks-vrijwilligers zijn hier ook in het Europese parlement weer vragen over gesteld.
5