Cloud & Privacy B2B Clouddiensten
Robert Boekhorst Amsterdam
27 juni 2013
Inleiding – – – –
Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen
© 2013 Baker & McKenzie Amsterdam N.V.
Privacyrecht in vogelvlucht © Baker & Mckenzie Amsterdam N.V.
Bronnen en kernbegrippen – – – – –
EU: Privacy Richtlijn NL: Wet Bescherming Persoonsgegevens Ziet op het verwerken van persoonsgegevens Verantwoordelijke Bewerker
© 2013 Baker & McKenzie Amsterdam N.V.
Kernverplichtingen – – – – – –
Doelbinding Rechtmatigheid Proportionaliteit en subsidiariteit Transparantie Rechten van betrokkenen (bijv. informatieverstrekking) Slechts doorgifte naar een land buiten de EU als dat land een passend beschermingsniveau waarborgt en…….
© 2013 Baker & McKenzie Amsterdam N.V.
Beveiliging (i): TOMs, Risicoanalyse –
Alleen verwerken in opdracht & geheimhouding “Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, (….) verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.”
–
TOMs “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”
–
Risicoanalyse “Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.”
© 2013 Baker & McKenzie Amsterdam N.V.
Beveiliging (ii): uitbesteding –
Zorgvuldige selectie bewerker “Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.”
–
Toezicht naleving “De verantwoordelijke ziet toe op de naleving van die maatregelen.”
–
Sluiten bewerkersovereenkomst “Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen (…) schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.”
© 2013 Baker & McKenzie Amsterdam N.V.
Privacyrecht en de Cloud: wat zijn de knelpunten? © Baker & Mckenzie Amsterdam N.V.
Privacyrecht en clouddiensten: Knelpunten Uitgangspunt: alle wettelijke verplichtingen gelden onverkort Knelpunten: –
– – –
Bewerkersovereenkomst vs cloudcontract
Transparantie vs gebrek aan transparantie Hoe zekerheid te verkrijgen en te houden over TOMs Naleving door bewerker: audit of TP mededeling?
2013 © Baker & McKenzie Amsterdam N.V.
– Subcontracting – Opdracht verantwoordelijke – Geheimhouding – Internationale doorgifte van gegevens – EU diversiteit nationale implemenatie
Nader beschouwd –
–
Hoe zekerheid te verkrijgen en te houden over TOMs – transparantie over toegepaste TOMs – kijk goed naar waar de norm betrekking op heeft: ISO 27001 dus goed? – Standaardisatie specifiek voor cloud is in ontwikkeling, maar in kinderschoenen en een ware wildgroei Naleving door bewerker – Audit of TP mededeling: audit door cloudklant uitzonderlijk – Inzage in audit rapport: wat is er geaudit, hoe vaak? ISAE 3402 dus goed? – Meldplicht datalekken – Wijzigingen
© 2013 Baker & McKenzie Amsterdam N.V.
Nader beschouwd –
Sub-contracting. Uitgangspunt: niet zonder voorafgaande instemming verantwoordelijke – doorzetten TOMs – wijziging subcontractor
– – –
Geheimhouding Einde verwerking: portabiliteit, verwijderen data Waar wordt data verwerkt?
2013 © Baker & McKenzie Amsterdam N.V.
Doorgifte Buiten de EU/EEA Cloudprovider dient een passend beschermingsniveau te bieden
VS
EU Model Contracts OF SAFE HARBOR
VS Clouddienst
EU
EU Cloudklant PASSEND BESCHERMINGSNIVEAU
GEEN PASSEND BESCHERMINGSNIVEAU
© 2013 Baker & McKenzie Amsterdam N.V.
Landen op ‘Witte Lijst’
PASSEND BESCHERMINGSNIVEAU
Contractueel raamwerk implementatie cloud
© 2013 Baker & McKenzie Amsterdam N.V.
Breder EU Perspectief Doorgifte buiten EEA mogelijk indien aan wetgeving en EU Model Contracts wordt voldaan? Notificatie bij toezichthouder verplicht? audit wettelijk verplicht? Is auditing op locatie verplicht? Third party mededeling mogelijk?
© 2013 Baker & McKenzie Amsterdam N.V.
Verenigd Koninkrijk
Frankrijk
Duitsland
Spanje
Italië
ja
ja
ja
ja
ja
nee
ja
ja
nee
nee
nee
ja
ja
ja
ja
nee
ja
nee
nee
nee
ja
ja
ja
ja
ja
Hoe mee om te gaan in de praktijk? –
–
Zorgvuldige voorbereiding (pre RFI/RFP fase) – Inventarisatie toepasselijk recht en regelgeving (breder dan Wbp alleen) – Data mapping – Wat voor soort? Hoeveel? – Voer een risicoanalyse uit: welk beschermingsniveau? RFI/RFP – Eis transparantie – Komen de cloudvoorwaarden tegemoet aan de eisen bewerkersovereenkomst? – Wat zijn de TOMs zijn deze passend, geaudit? – Onderhandeling mogelijk?
© 2013 Baker & Mckenzie Amsterdam N.V.
Verwachting (i) – –
Internationale standaardisatie Certificering
–
EU Privacy Verordening oa: versterking positie verantwoordelijke aansprakelijkheid bewerkers Boetes voor bewerkers Verplichting tot medewerking aan verantwoordelijke BCRs voor bewerkers
– – – –
© 2013 Baker & McKenzie Amsterdam N.V.
Verwachting (ii): – –
–
Private Cloud – Alles kan! Hybride Cloud / B2B high-end Cloud – ‘Commodity services’ – Gestandaardiseerde aanbiedingen – Gebruik van certificaten voor naleving Public Cloud – Diensten die qua kwaliteit en privacy compliance onverschillig zijn
© 2013 Baker & McKenzie Amsterdam N.V.
Download onze Global Privacy App! Robert Boekhorst +31 (0)20 5517533
[email protected]
Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a “partner” means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an “office” means an office of any such law firm.