legale kaders in cyberspace
t
Privacy en cloud computing
Beveiliging van persoonsgegevens in de cloud
E-mail leent zich goed als cloudservice. Het voordeel is dat de ICT-afdeling geen eigen mailserver hoeft op te zetten, wat efficiënter en goedkoper kan zijn. Doordat de mailfaciliteit in een cloud draait, vindt al het mailverkeer echter ineens buiten het bedrijfsnetwerk plaats. De gegevens worden via internet verwerkt zonder dat bekend is waar ze zich bevinden. Als het daarbij gaat om persoonsgegevens, zal bij het inschakelen van een cloud computing provider ook aandacht moeten worden besteed aan de privacyaspecten.
informatie / juli|augustus 2010
Elisabeth Thole
28
Cloud computing mag zich in een groeiende belangstelling verheugen. Toch weten velen nog niet wat cloud computing is. Volgens Wikipedia is cloud computing ‘een parallel computer systeem waarbij de software verdeeld is tussen meerdere computers op het internet’. De ‘cloud’ staat voor het internet, in samenhang met de delen en acties van de applicatie die niet op de apparatuur van de gebruiker plaatsvinden. Bij cloud computing hoeft de gebruiker niet langer uitgebreide kennis of controle te hebben over de technologie waarvan hij gebruikmaakt. Veelal wordt binnen cloud computing onder scheid gemaakt tussen de soorten dienstenmo dellen: Software as a Service (SaaS), Platform as a service (PaaS) en Infrastructure as a Service (IaaS). Bij SaaS worden de applicaties als dienst aangeboden, terwijl het bij PaaS gaat om het aanbieden van een platform voor de ontwikkeling van software. Bij IaaS wordt de IT-infrastructuur van een organisatie als dienst aangeboden. Een andere gangbare onderverdeling houdt
verband met de open- en geslotenheid van de cloud. Er worden vier typen modellen onder kend: public, community, private en hybrid. Bij public en community cloud computing worden IT-diensten uitbesteed aan een cloud computing provider. Het verschil tussen beide vormen is dat bij public cloud computing de resources van de provider worden gedeeld met andere gebruikers, terwijl het bij community cloud computing gaat om dedicated hardware. Wat private cloud com puting betreft, wordt gebruikgemaakt van techno logieën binnen het datacentrum van de organisa tie. Ten slotte is hybrid cloud computing een mix van public, community en private clouds.
Persoonsgegevens Ongeacht om welke vorm van cloud computing het gaat, het is onvermijdelijk dat er ook per soonsgegevens in de cloud worden verwerkt. Persoonsgegevens zijn, volgens de Wet bescher ming persoonsgegevens (Wbp), gegevens die herleidbaar zijn tot levende natuurlijke personen.
Samenvatting Vanuit de privacyoptiek dienen zich bij cloud computing de nodige problemen aan, met name wat de beveiliging van persoonsgegevens betreft. Maar ook de andere verplichtingen uit de Wet bescherming persoonsgegevens, zoals die voor de doorgifte van persoonsgegevens, vergen de nodige aandacht. Een eerste stap is dat klanten en cloud computing providers helderheid hebben over hun rolverdeling op privacygebied en de daaruit voortvloeiende verplichtingen. persoonlijke doeleinden in een cloud worden geplaatst (bijvoorbeeld een lijst van contactper sonen), terwijl verschillende personen daarbij kunnen, is aannemelijk dat er geen beroep kan worden gedaan op de uitzondering. Ook in dat geval moet dan rekening worden gehouden met de Wbp.
Rol van cloud computing provider De belangrijkste verplichtingen uit de Wbp rusten op de verantwoordelijke. Volgens de Wbp is de verantwoordelijke degene die het doel en de middelen van de gegevensverwerking vaststelt. De verantwoordelijke kan de gegevensverwerking uitbesteden aan een bewerker. Anders dan een verantwoordelijke heeft een bewerker geen zeg genschap over de gegevensverwerking, maar zal hij de gegevensverwerking in opdracht en volgens de instructies van de verantwoordelijke moeten uitvoeren. Een bewerker verwerkt de persoons gegevens ten behoeve van de verantwoordelijke, zonder aan zijn rechtstreekse gezag te zijn onder worpen. Ervan uitgaande dat bij cloud computing in ieder geval een klant en de cloud computing provider betrokken zijn, is de volgende rolverdeling denk baar: de klant is de verantwoordelijke, terwijl de cloud computing provider de bewerker is. Immers, doorgaans biedt de cloud computing pro vider de diensten aan in opdracht en ten behoeve van de klant. Niettemin is niet uitgesloten dat de cloud compu ting provider als (mede)verantwoordelijke gekwa lificeerd moet worden. Volgens de opinie van de Artikel 29 Werkgroep, het privacyadviesorgaan van de Europese Commissie, van februari 2010 (WP169) over de uitleg van de begrippen ‘verant woordelijke’ en ‘bewerker’, gaat het om de wijze waarop partijen in de praktijk invulling geven aan de gegevensverwerking. Als de cloud computing provider de gegevens ook voor eigen doeleinden verwerkt, is hij niet (langer) een bewerker, maar (ook) de verantwoordelijke. Als dit het geval
informatie / juli|augustus 2010
Het kan gaan om gegevens die direct herleidbaar zijn tot een persoon, bijvoorbeeld iemands naam, telefoonnummer of (e-mail)adres, maar ook om gegevens die alleen samen met andere gegevens te herleiden zijn tot een persoon, zoals iemands geboortedatum of geslacht. Ook kan sprake zijn van meer gevoelige gegevens, zoals medische gegevens. Voor het verwerken van dit soort per soonsgegevens geldt een nog strikter wettelijk regime dan voor het verwerken van ‘gewone’ persoonsgegevens. Het verwerken van de bijzon dere persoonsgegevens is in principe verboden, tenzij er een beroep kan worden gedaan op een wettelijke uitzondering. Ziekenhuizen zullen bijvoorbeeld medische gegevens (in een cloud) mogen verwerken. De meeste andere organisaties zullen deze gegevens in principe alleen met de uitdrukkelijke toestemming van de betrokkene mogen verwerken. Van het verwerken van persoonsgegevens is al snel sprake want het kan elke handeling met betrekking tot persoonsgegevens betreffen, van het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen en gebruiken tot het ter beschikking stellen van per soonsgegevens. Zelfs het uitwissen of vernietigen van persoonsgegevens kan worden aangemerkt als een verwerkingshandeling. Ook binnen cloud computing zijn deze ver werkingshandelingen met persoonsgegevens denkbaar. Alleen bij de enkelvoudige transmissie van persoonsgegevens is er geen sprake van het verwerken van persoonsgegevens, wat zich ook in de cloud kan voordoen. De Wbp is dan niet van toepassing. De Wbp is evenmin van toepassing als het gaat om activiteiten voor uitsluitend persoon lijke of huishoudelijke doeleinden. Rechtspraak van het Europese Hof van Justitie leert echter dat deze uitzondering restrictief moet worden uitgelegd. Zo is aangenomen dat het plaatsen van persoonsgegevens op een website niet onder deze uitzondering valt, omdat de gegevens hierdoor voor iedereen toegankelijk zijn. Als gegevens voor
29
legale kaders in cyberspace
t
is, moet de cloud computing provider zelf (ook) voldoen aan de verplichtingen uit de toepasselijke privacyregelgeving. Voor zover de cloud computing provider een bewerker is, brengt dit met zich mee dat de klant en de provider afspraken moeten hebben gemaakt over de verwerking van de persoonsgegevens, meer in het bijzonder de beveiliging van de per soonsgegevens. Deze afspraken duidt men ook wel aan met de term ‘bewerkersovereenkomst’. De bewerkersovereenkomst kan onderdeel zijn van de dienstverleningsovereenkomst, maar kan ook in een aparte bijlage worden opgenomen. Er moet in ieder geval worden afgesproken dat de cloud com puting provider, als bewerker, de persoonsgegevens uitsluitend zal mogen verwerken in opdracht van de klant. Daarnaast dient de cloud computing provider contractueel verplicht te worden om de beveiligingsmaatregelen die bij de klant gelden in acht te nemen. De klant zal moeten toezien op de naleving van deze regels. Het verdient dan ook aanbeveling dat de klant zich daartoe het recht voorbehoudt.
informatie / juli|augustus 2010
Beveiliging
30
Vanuit privacyoogpunt lijkt bij cloud computing met name de beveiliging van persoonsgegevens een belangrijke bedreiging te vormen. Niet ondenkbaar is bijvoorbeeld dat het systeem gedu rende een bepaalde tijd platligt, waardoor geen toegang meer kan worden verkregen tot essentiële persoonsgegevens, met alle gevolgen van dien. Een bijkomend probleem is dat bedrijven die hun gegevens via de cloud laten verwerken, doorgaans zelf niet meer over een back-up van deze gegevens beschikken. Er wordt volledig op vertrouwd dat de gegevens in de cloud beschikbaar zijn. Ken merkend voor cloud computing is verder dat de gegevens zich op verschillende locaties kunnen bevinden, wat de controle over de gegevensverwer king zal bemoeilijken. Aannemelijk is dat beveiligingsproblemen zich vooral voordoen bij een public cloud, omdat deze cloud voor een algemeen publiek beschikbaar is. Bij een private cloud blijven de persoonsgegevens binnen het eigen netwerk, zonder dat de cloud wordt gedeeld met andere klanten. Organisaties
zullen daardoor, anders dan bij een public cloud, in principe zelf nog in staat zijn het toezicht te houden op de gegevensverwerking die binnen de cloud plaatsvindt. Het wettelijk kader voor de te stellen beveiligings eisen is te vinden in artikel 13 van de Wbp. Deze bepaling vereist dat er adequate technische maat regelen en beveiligingsmaatregelen worden getrof fen ter beveiliging van de persoonsgegevens. De vraag rijst hoever de beveiligingsverplichting reikt bij cloud computing. Aspecten die een rol spelen, zijn de stand van de techniek, de kosten van de tenuitvoerlegging en de risico’s die verwerking en de aard van de te beschermen gegevens met zich meebrengen. Dit zijn open normen. Ter concreti sering van deze normen heeft de privacytoezicht houder, het College Bescherming Persoonsgege vens (CBP), een aantal risicoklassen ontwikkeld. De verantwoordelijke die overweegt gegevens over te brengen in een cloud, zal steeds eerst een analyse van de privacybedreigingen moeten (laten) uitvoeren. Daarbij moet hij nagaan wat de aard en omvang van de gegevensverwerking is, wie toegang heeft tot de gegevens, welke privacyrisico’s te verwachten zijn en wat de consequenties daarvan zijn. Aan de hand daarvan kan worden vastgesteld wat de toepasselijke risicoklasse is en vervolgens wat een passend beschermingsniveau is. Hoe gevoeliger de gegevens die in de cloud worden verwerkt, hoe hoger de risicoklasse. Als het bij voorbeeld gaat om het verwerken van bijzondere persoonsgegevens of om persoonsgegevens waar voor een geheimhoudingsverplichting geldt, zullen deze verwerkingen in een hoge risicoklasse moeten worden ingedeeld. De huidige indeling in risicoklassen dateert uit 2001. Inmiddels heeft het CBP aangekondigd dat er nieuwe richtsnoeren in de maak zijn over de beveiliging van persoonsgegevens. Tevens heeft het CBP aangegeven een verscherpt toezicht op de beveiliging ter hand te zullen nemen. Zowel voor de klanten die gebruikmaken van cloud computing als voor de cloud computing providers is het goed dit te weten.
Meldplicht privacy-inbreuken Bij gegevensverwerkingen binnen een cloud bestaat een verhoogde kans op datalekken en daar mee op privacy-inbreuken. Daarom past het om in het kader van de beveiliging van persoonsgegevens ook al rekening te houden met de te verwachten invoering van een wettelijke meldplicht van pri vacy-inbreuken. Momenteel bestaat er in Neder land, anders dan bijvoorbeeld in de Verenigde
Internationale aspecten Bij cloud computing worden de gegevens door gaans op verschillende plaatsen opgeslagen. Dit kan ook over de landsgrenzen heen zijn. De Wbp is alleen van toepassing als persoonsgegevens wor den verwerkt in het kader van activiteiten van een vestiging in Nederland van een verantwoordelijke. Verder is de Wbp van toepassing als de verant
woordelijke buiten de EU is gevestigd en er voor de gegevensverwerking gebruik wordt gemaakt van middelen in Nederland, zoals een server in Neder land. In dat geval dient de buiten de EU geves tigde verantwoordelijke een vertegenwoordiger in Nederland aan te wijzen die als de verantwoorde lijke wordt aangemerkt. Volgens de eerdergenoemde opinie van de Artikel 29 Werkgroep zullen verantwoordelijken moeten weten waar de gegevensverwerking plaatsvindt. Een complicatie bij cloud computing is evenwel dat het voor klanten veelal ondoorzichtig zal zijn aan welke landen precies de gegevens worden doorgegeven. Het ligt voor de hand dat de gegevens kunnen worden doorgegeven aan landen buiten de Euro pese Economische Ruimte (EER). Als hoofdregel mogen persoonsgegevens alleen worden door gegeven aan landen met een passend bescher mingsniveau. Wanneer een land geen passend beschermingsniveau biedt, is de doorgifte toch toegestaan als er een beroep kan worden gedaan op een wettelijke uitzondering of als de minister van Justitie een vergunning heeft afgegeven voor de doorgifte. Van de volgende landen is aangenomen dat zij een passend beschermingsniveau bieden: Zwitserland, Argentinië, Canada, Guernsey, Isle of Man, Jersey, Israël en Andorra. Hetzelfde geldt voor bedrijven gevestigd in de Verenigde Staten die zich verplicht hebben tot naleving van de Safe Harbor principles. Als niet sprake is van een van deze landen of in de Verenigde Staten gevestigde bedrijven die de Safe Harbor principles hebben onderschreven, moet een beroep worden gedaan op een wette lijke uitzondering of moet de klant die een cloud computing provider inschakelt, een vergunning aanvragen. De wettelijke uitzonderingen lijken in het kader van cloud computing niet echt een optie te bieden ter legitimering van de doorgifte van persoonsge gevens. Zo zal het voor zich spreken dat aan het vragen van de ondubbelzinnige toestemming van alle betrokkenen, een van de wettelijke uitzon deringen, de nodige praktische bezwaren kleven. Niet alleen is dit een nogal ‘zwaar middel’, ook doet zich daarbij het probleem voor dat als betrok kenen hun toestemming weigeren te geven, de persoonsgegevens van die betrokkenen niet naar het derde land uitgevoerd mogen worden. Dit is daarom geen reële optie. De doorgifte van de persoonsgegevens zal ook mogen plaatsvinden als de klant kan aantonen dat de doorgifte noodzakelijk is voor de uitvoering
informatie / juli|augustus 2010
Staten of Duitsland, nog geen wettelijke regeling die organisaties verplicht melding te maken van het verlies van privacygevoelige gegevens. Inmid dels is een voorstel ingediend tot wijziging van de Telecommunicatiewet, die onder meer de gewij zigde e-Privacyrichtlijn implementeert. Het idee is dat medio 2011 de wettelijke meldplicht wordt ingevoerd. Het CBP heeft echter de nodige kant tekeningen geplaatst bij het wetsvoorstel. Het wetsvoorstel kiest voor een tweeledige meldplicht. Enerzijds wordt een meldplicht voor inbreuken in verband met persoonsgegevens voorgesteld, met de OPTA als toezichthouder, en anderzijds een meldplicht voor inbreuken op de veiligheid en verliezen van netwerkintegriteit, waarbij de verantwoordelijkheid bij het ministerie van Economische Zaken zal worden gelegd. Wel zullen volgens het voorstel beide meldingen prak tisch gezien bij één centraal punt moeten worden gedaan. Het wetsvoorstel kent geen algemene meldplicht, maar er wordt voorzien in een ‘smalle meldplicht’. Dit houdt in dat de meldplicht alleen geldt voor telefoon- en internettoegangaanbieders. In zijn reactie op het wetsvoorstel stelt het CBP niet alleen dat het zich niet kan vinden in de inrich ting van de twee meldplichten en het verspreide toezicht op de naleving daarvan, ook dringt het aan op de invoering van een algemene meldplicht. De meldplicht zou, aldus het CBP, moeten gelden voor alle bedrijven en overheidsdiensten. Het CBP beveelt daarom aan het wetsvoorstel aan te passen. Als er een algemene meldplicht gaat gelden, zullen alle klanten, als verantwoordelijken, de betrok kenen en de relevante toezichthouder moeten informeren over een lek in de beveiliging die gepaard gaat met de onrechtmatige verkrijging van persoonsgegevens uit de cloud. Specifiek bij cloud computing is van belang dat de klanten voor deze informatie afhankelijk zullen zijn van hun cloud computing provider. Opdat ook de cloud compu ting provider weet waar hij aan toe is, is het voor beide partijen raadzaam in de dienstverleningsc.q. bewerkersovereenkomst afspraken te maken over de invulling van de meldplicht.
31
legale kaders in cyberspace informatie / juli|augustus 2010
32
t
»Klanten en cloud computing providers moeten helderheid hebben over hun rolverdeling op privacygebied en de daaruit voortvloeiende verplichtingen
van een overeenkomst die gesloten is tussen de klant en de betrokkene. Ook kan het gaan om een overeenkomst die in het belang van de betrokkene tussen de klant en een derde, bijvoorbeeld de cloud computing provider, is gesloten of zal worden gesloten. Moge lijk kan de doorgifte op basis van deze wettelijke uitzondering bij cloud computing wel worden gerechtvaardigd. Als dat niet zo is, resteert voor de klant doorgaans niets anders dan een vergunning aan te vragen. Daarbij moet de klant wel weten naar welke landen de doorgifte van de persoonsgegevens zal plaatsvinden, wat zoals gezegd problematisch kan zijn bij cloud computing. De vergunning wordt door de minister van Justitie verleend en dient via het CBP te worden aange vraagd. Aan de vergunningaanvraag worden nadere voorwaarden verbonden die als waarborg dienen voor de bescherming van de persoonsgegevens in kwestie. De eenvoudigste manier om aan te tonen dat deze waarborgen worden geboden, is door gebruik te maken van modelcontracten die goedgekeurd zijn door de Europese Commissie. Recentelijk is een nieuw modelcontract tussen de verantwoordelijke/data-exporteur en de bewerker/ data-importeur vastgesteld. Dit contract moet worden gesloten tussen de klant en de cloud computing provider. Overigens is dit modelcon tract alleen van toepassing als de cloud computing provider buiten de EER gevestigd is. Onduidelijk is daardoor of het ook kan worden gebruikt als de cloud computing provider binnen de EER geves tigd is maar gebruikmaakt van onderaannemers die gevestigd zijn in een land buiten de EER zonder passend beschermingsniveau. Zoals gezegd rust de verplichting om ervoor te zorgen dat de doorgifte rechtmatig plaatsvindt bij de klant, en niet bij de cloud computing provider. Het is derhalve de klant die de noodzakelijke formaliteiten dient te vervullen. Als de cloud computing provider deze formaliteiten van zijn klanten zou willen overnemen, zou hij ervoor kun nen kiezen een zogenaamde generieke vergunning aan te vragen. Daarbij is het idee dat de klant de verantwoordelijke is voor de gegevensverwerking
in Nederland, terwijl de cloud computing provider de verantwoordelijke is voor de doorgifte van de persoonsgegevens. Dit biedt de cloud computing provider de mogelijkheid om de administratieve lasten van zijn klanten te verlichten. Bovendien zou de cloud computing provider in principe op de hoogte moeten zijn naar welke landen de gegevens worden doorgegeven. De kwestie van de vergunning zal overigens in de toekomst een minder heet hangijzer worden. Er is namelijk een wetswijziging ingediend waarin wordt voorgesteld de vergunningsplicht te laten vervallen indien gebruik wordt gemaakt van de ongewijzigde modelcontracten. Een andere mogelijkheid om de doorgifte te legitimeren is door gebruik te maken van Binding Corporate Rules (BCR’s). Behalve dat het aanvra gen van BCR’s een nogal tijdrovende aangelegen heid is, geldt echter ook dat BCR’s vooralsnog alleen beschikbaar zijn voor doorgifte binnen het concernverband van de verantwoordelijke. Aange zien de gegevens bij cloud computing aan de cloud computing provider als bewerker worden verstrekt, gaat de oplossing van BCR’s (vooralsnog) niet op.
Tot slot Vanuit de privacyoptiek dienen zich bij cloud com puting de nodige problemen aan, met name wat de beveiliging van de persoonsgegevens betreft. Maar ook de andere verplichtingen uit de Wbp, zoals die gelden voor de doorgifte van persoonsgegevens, vergen de nodige aandacht. Een eerste stap is in ieder geval dat klanten en cloud computing provi ders helderheid hebben over hun rolverdeling op privacygebied en de daaruit voortvloeiende ver plichtingen. Het devies luidt dan ook om niet ‘met het hoofd in de wolken te lopen’, maar met beide benen op de grond, zodat cloud computing voor allen een succesvolle aangelegenheid wordt. Mr. dr. Elisabeth Thole is advocaat bij Van Doorne N.V. te Amsterdam en voorzitter van het Van Doorne Privacyteam. E-mail:
[email protected].
«
