Privacy in de cloud: er zit onweer in de lucht

Privacy in de cloud: er zit onweer in de lucht

DNB heeft dan ook aangegeven cloud computing te beschouwen als een vorm van uitbesteding.2 DNB moet vooraf worden geinformeerd over het voornemen om over te gaan op cloud computing en aan haar moet een risicoanalyse ter beschikking worden gesteld.3

Cloud computing is het opslaan, verwerken en gebruiken van de data van een onderneming op de servers van een cloudprovider in plaats van op servers in de kelder van het hoofdkantoor. De cloudprovider kan daarnaast gebruik van software en andere hardware aanbieden, waartoe de onderneming met logincodes online toegang heeft. De onderneming betaalt per opslageenheid, gebruiker en/of gebruiksduur.

Voor- en nadelen Voor ondernemingen kan cloud computing veel voordelen hebben. De cloud biedt flexibiliteit: als er serverruimte of andere software of hardware nodig is, hoeft deze niet te worden gekocht, maar kan in beginsel à la minute worden gehuurd. Daarmee kan niet alleen worden bespaard op aanschaf- en energiekosten, maar ook op kantoorruimte en, in voorkomende gevallen, op IT-staf. Servers zijn niet langer kapitaallasten, maar worden operationele kosten.

De term ‘cloud computing’ is in 2006 vrijwel gelijktijdig gelanceerd door Amazon en Google. Zij hadden over de hele wereld servers staan waarvan de capaciteit een groot deel van de dag niet volledig werd benut. Om het rendement van de servers te verhogen boden zij de restcapaciteit aan derden aan om hun data en software te plaatsen. Om maximaal rendement te behalen werden de data steeds op de server gezet waar op dat moment ruimte was. Deze ‘location shift’ is bepalend geworden voor het beeld dat van cloud computing bestaat.

De Europese Commissie heeft in een recente studie berekend dat een Europese markt voor cloud computing aan besparingen en productiviteitsverbetering in 2020 in totaal EUR 160 miljard per jaar kan opleveren. Het onderzoek waar dat op is gebaseerd heeft uitgewezen dat ondernemingen gemiddeld 10 tot 20% op hun IT-kosten besparen door cloud computing.4 Cloud computing is dan ook eerder een economisch dan een technologisch fenomeen. Het belangrijkste nadeel van cloud computing is dat de onderneming voor haar bedrijfsvoering in sterke mate afhankelijk wordt van de cloudprovider. Dat geldt des te meer als ook de IT-staf grotendeels verdwijnt. Die afhankelijkheid roept vragen op over de risico’s en hoe controle en regie zoveel mogelijk kunnen worden behouden.

Voor veel ondernemingen is het belangrijk op ieder moment de controle over hun data te kunnen uitoefenen. Financiële instellingen en andere ondernemingen die onder toezicht staan van DNB dienen op grond van de Wet financieel toezicht en het Besluit prudentiele regels Wft steeds de controle over hun gegevens te hebben en te zorgen dat de cloudprovider voldoet aan de toezichtwetgeving.1 Een voortdurende, door de cloudprovider bepaalde ‘location shift’ van data bemoeilijkt die controle. Ook moet DNB op ieder moment toegang tot de gegevens kunnen krijgen. Ook dat verdraagt zich slecht met het voortdurend van locatie veranderen van de data. Bovendien is daarvoor de medewerking van de cloudprovider nodig. Tenslotte is de locatie van de data – en vooral de verandering van locatie – een belangrijk gegeven om te voldoen aan de wettelijke privacyregels. Om in deze behoeften te voorzien zijn modellen van cloud computing ontstaan waarbij de onderneming in meerdere of mindere mate bepaalt op welke locaties de data worden DNB heeft aangegeven cloud gehouden. Zijn de servers uitsluitend voor één computing te beschouwen als onderneming bestemd dan is sprake van een private cloud. Dat verschilt niet of nauwelijks van een vorm van uitbesteding. outsourcing van de hosting van dataverwerking.

Vragen die ook op het bord van de bedrijfsjurist liggen zijn: • Hoe wordt gewaarborgd dat data en software altijd toegankelijk en beschikbaar zijn? • Hoe kan afdoende beveiliging worden afgedwongen en gecontroleerd? • Hoe wordt gezorgd dat bij beëindiging van de overeenkomst een naadloze overgang naar de nieuwe provider plaatsvindt en geen data achterblijven? Het antwoord op die vragen is relatief simpel, maar kan in de praktijk lastig zijn. Het simpele antwoord is: zoek een provider die de nodige garanties biedt t.a.v. toegang, beschikbaarheid, controle en beveiliging. Maak een exitplan waarin is geregeld wat er bij

 Circulaire Cloud Computing van De Nederlandsche Bank d.d. 6 december 2011. Te vinden op

2

http://www.toezicht.dnb.nl/binaries/Cloud%20computing_tcm50-224828.pdf.  zie J.M.A. Berkvens, Clou(d)(t)sourcing binnen de financiele sector, Tijdschrift voor Financieel Recht 2012/12,

3

p. 444 e.v.  Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake,

4 1

 Zie de artikelen 27 t/m 32a van het Besluit prudentiële regels, dat artikel 3:18 van de Wet financiëel toezicht uitvoert.

110privacy: tips en tricks voor de ondernemingspraktijk

D4 – Final Report, IDC, July 13th 2012. Te vinden op http://ec.europa.eu/information_society/activities/ cloudcomputing/docs/quantitative_estimates.pdf.

HOUTHOFF BURUMA111

beëindiging van de relatie moet gebeuren en hoe data worden overgedragen. En leg alles contractueel goed vast.

aanleiding van beide documenten in een recente opinie zijn visie op de privacyaspecten van het gebruik van cloud computing gegeven.7

Het lastige is dat veel cloudproviders werken met standaardcontracten die niet of nauwelijks onderhandelbaar zijn. Voor de meest voordelige clouddiensten worden geen garanties geboden en is aansprakelijkheid vrijwel geheel uitgesloten. Bij duurdere cloud-computingmodellen, die de onderneming meer zekerheid geven over de kwaliteit van de geleverde diensten en de accountability van de provider, zijn garanties en toegangsrechten vaak wel onderhandelbaar. Ook is het vaak mogelijk af te spreken dat de gegevens binnen de EU blijven, of zelfs binnen Nederland. En de cloudprovider is misschien zelfs bereid een boeteclausule en een normale aansprakelijkheid te accepteren.

De belangrijkste ontwikkeling voor cloudproviders en hun klanten is ongetwijfeld de op 25 januari 2012 gepubliceerde concept-privacyverordening,8 ter vervanging van de uit 1995 stammende Privacyrichtlijn.9 Het zal naar verwachting nog een aantal jaren duren voor deze verordening van kracht wordt, maar de verordening werpt haar donkere schaduwen vooruit.

Privacy Het ‘in de cloud’ gaan roept ook de vraag op hoe een onderneming kan voldoen aan de toepasselijke wetgeving als de data zich in een ander land bevinden. In 2012 heeft vooral de Europese privacywetgeving de nodige aandacht gekregen. Volgens de Europese Commissie in haar recente publicatie ‘Unleashing Volgens de Europese Commissie vormen the potential of cloud computing in Europe’ is uit onderzoek zorgen over privacy de belangrijkste gebleken dat zorgen over privacy barrière voor ondernemingen die cloud de belangrijkste barrière vormen voor ondernemingen die cloud computing overwegen. computing overwegen.5 De Artikel 29 Werkgroep, het adviesorgaan van de Europese Commissie op privacygebied waarin de toezichthouders van de 27 EU-lidstaten zijn vertegenwoordigd, heeft in haar advies over cloud computing en privacy aangegeven dat gebrek aan controle over de gegevens en onvoldoende informatie over de gegevensverwerkingen de belangrijkste obstakels zijn.6 De European Data Protection Supervisor, privacytoezichthouder voor de Europese instellingen, maar tevens onafhankelijk adviseur van de Commissie en het Europees Parlement, heeft naar

Het meest opvallend zijn de sterk uitgebreide De sanctiemogelijkheden van het CBP worden bevoegdheden van sterk uitgebreid als de conceptverordening in toezichthouders in de lidstaten (art. 53 van de de huidige vorm wordt aangenomen. concept Verordening). In Nederland is dat het College Bescherming Persoonsgegevens (CBP). Op basis van de huidige privacywetgeving heeft het CBP beperkte onderzoeks- en sanctiebevoegdheden. Die worden sterk uitgebreid als de verordening in de huidige vorm wordt aangenomen. Het CBP kan dan een verbod op verwerking van bepaalde gegevens opleggen en krijgt vérgaande onderzoeksbevoegdheden. Die zijn geënt op de bevoegdheden van mededingingsautoriteiten zoals de NMa. Gedacht kan worden aan de uit mededingingszaken bekende dawn raids, onaangekondigde bezoeken van de toezichthouder aan kantoren van de onderzochte onderneming, waar men in het kader van opsporing van strafbare feiten toegang verlangt tot de aanwezige IT-infrastructuur en alle relevante data kopiëert. Boetes Met het oog op verbetering van de handhaving van de privacyregels krijgen het CBP en zijn Europese collega’s de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening. De maximale boete is 2% van de jaarlijkse wereldwijde omzet (artikel 79 lid 6  Te vinden op http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/

7

Opinions/2012/12-11-16_Cloud_Computing_EN.pdf.  Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van

8 5

 Unleashing the potential of cloud computing in Europe – What is it and what does it mean for me?

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer

European Commission 27 september 2012. Te vinden op http://ec.europa.eu/information_society/activities/

van die gegevens (algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden

cloudcomputing/docs/com/com_cloud.pdf. 6

 Artikel 29 Werkgroep, Opinion 05/2012 on Cloud Computing, WP 196, 1 juli 2012. Te vinden op http://

op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf.  Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de

9

ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en

wp196_en.pdf.

betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 p. 0031 – 0050.

112privacy: tips en tricks voor de ondernemingspraktijk

HOUTHOFF BURUMA113

van de concept Verordening). In het kader van cloud computing is vooral van belang dat er een boete staat op ongeoorloofde doorgifte van gegevens naar een land buiten de EEA (artikel 40 tot 44). Dat kan in de cloud, zonder adequate afspraken en maatregelen, al snel gebeuren. In beginsel bepaalt de cloudprovider immers op welke locatie de gegevens worden opgeslagen. Deze boetebepalingen onderstrepen dat een onderneming die overweegt in de cloud te gaan, zich ervan moet vergewissen (en contractueel zeker stellen) dat de cloudprovider voldoet aan de privacyregels en dat zij daarop toezicht kan houden middels onaangekondigde audits. Dat geldt temeer omdat op grond van artikel 26 van de concept Verordening de onderneming, als verantwoordelijke, aansprakelijk is voor overtredingen van de privacyregels door de cloudprovider. Contractuele afspraken De Franse privacytoezichthouder CNIL10 heeft recent een aantal aanbevelingen11 gepubliceerd voor ondernemingen die van plan zijn cloud computing te gebruiken. Vooraf moet intern een risicoanalyse worden uitgevoerd. Daarnaast moet worden bepaald of ook gevoelige gegevens in de cloud gaan, want daarvoor gelden extra eisen. Verder moet worden vastgesteld: • aan welke juridische en technische voorwaarden de verwerkingen moeten voldoen; • wat de grootste risico’s zijn; en • welke maatregelen nodig zijn om deze zoveel mogelijk te beperken. Vastgesteld moet worden – net als bij uitbesteding - of de onderneming voldoende IT-kennis in huis houdt om niet volledig afhankelijk te worden van de cloudprovider en hoe aan het eind van de overeenkomst data (en eventueel het IT-personeel) terugkomen bij de klant. De analyse moet ook zien op de maatregelen die de cloudprovider neemt om de vertrouwelijkheid te waarborgen van concurrentiegevoelige informatie, zoals ongepubliceerde omzet- en winstcijfers en gegevens over overnames en mededingingskwesties. Ten slotte moet worden beoordeeld of de cloudprovider de onderneming in staat stelt te voldoen aan specifieke branchevoorwaarden, zoals de beveiliging- en toezichteisen van DNB

voor financiële instellingen. De betrokkenheid van juristen bij deze analyses en het contractueel vastleggen van de waarborgen is onontbeerlijk.

Buitenlandse wetgeving Daarbij moet nog één ander juridisch risico onder ogen worden gezien. In de VS en sommige andere landen heeft de overheid wettelijke bevoegdheden om een provider te vragen toegang te geven tot de gegevens op zijn server. In dit verband wordt vaak de USA Patriot Act12 genoemd. Die breidt de bestaande bevoegdheden van de FBI en andere onderzoeksinstanties uit om ter bestrijding van terrorisme of buitenlandse spionage gegevens over burgers op te vragen, ook van cloudproviders. Vergelijkbare bevoegdheden kunnen worden ontleend aan de Foreign Intelligence Surveillance Act, aangepast in 2008 , waarvan President Obama eind 2012 de looptijd met vijf jaar heeft verlengd. Op grond daarvan kunnen bijvoorbeeld cloud providers zonder rechterlijk bevel worden verplicht informatie over bepaalde buiten de Verenigde Staten woonachtige personen te verstrekken.13 Beide wetten zijn primair gericht op het bestrijden van internationaal terrorisme, sabotage en contraspionage maar bevatten vrijwel geen waarborgen voor de onderneming of persoon op wie de verstrekte informatie betrekking heeft. Hoewel het aantal keren dat bevoegdheden onder de USA Patriot Act en de FISA zijn gebruikt beperkt lijkt, bestaat er in Europa, vooral vanwege de mogelijkheid dat zonder medeweten informatie wordt gedeeld met de onderzoeksinstanties, veel weerstand tegen het gebruik van Amerikaanse cloudproviders. Ter relativering: in ieder Europees land heeft de overheid vergelijkbare bevoegdheden. In 2011 hebben Nederlandse opsporingsdiensten 2,3 miljoen keer verkeersgegevens opgevraagd bij telecomproviders.14 Dat is exclusief de bevragingen van de Algemene Inlichtingen- en  Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and)

12

Obstruct Terrorism Act of 2001. Te vinden op http://frwebgate.access.gpo.gov/cgi-bin/getdoc. cgi?dbname=107_cong_public_laws&docid=f:publ056.107.pdf en http://www.justice.gov/archive/ll/ highlights.htm. 13

 50 USC § 1801 e.v.; Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008 (FISAAA), HR 6304.

  Commission nationale de l’informatique et des libertés. Zie http://www.cnil.fr/english/.

10 11

 Recommendations for companies planning to use Cloud computing services, 25 juni 2012.

De betrokkenheid van juristen bij de analyse van de risico’s van cloud computing en het contractueel vastleggen van waarborgen is onontbeerlijk.

14

 CIOT-bevragingen. Proces en rechtmatigheid; Min. van J&V, november 2012. Te vinden op

Te vinden op http://www.cnil.fr/fileadmin/documents/en/Recommendations_for_companies_planning_

http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2012/12/20/ciot-bevragingen-

to_use_Cloud_computing_services.pdf.

proces-en-rechtmatigheid.html.

114privacy: tips en tricks voor de ondernemingspraktijk

HOUTHOFF BURUMA115

Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst. Maar de Amerikaanse wetgeving gaat verder dan wat wij in Europa gewend zijn: • Gegevens kunnen worden opgevraagd van in de VS gevestigde cloudproviders, maar ook van hun buitenlandse groepsvennootschappen en zelfs van cloudproviders die structureel zakendoen in de VS, zonder daar een vestiging te hebben. • Er vindt geen rechterlijke toetsing vooraf plaats; ook is geen toestemming van het OM nodig. • De cloudprovider mag de betrokken klant niet inlichten. • Informatie mag met andere overheidsinstanties worden gedeeld. De gegevens die bij de cloudprovider kunnen worden opgevraagd zijn in beginsel beperkt tot abonneegegevens, facturen en verkeersgegevens, met inbegrip van de gebruikte e-mailadressen. De inhoud van e-mails mag niet worden opgevraagd. Maar in praktijk trekken Amerikaanse onderzoeksinstanties zich daar niet altijd wat van aan. En het is een feit dat de onderneming geen greep heeft op het gebruik van bevoegdheden onder de USA Patriot Act.

overeenkomst sluit die, kort gezegd, garandeert dat de bewerker zich aan de Europese privacyregels houdt. Een cloudprovider die onder de USA Patriot Act valt – en dat zijn er vele – kan een dergelijke garantie niet geven. Als een Amerikaanse onderzoeksinstantie gegevens opvraagt zal hij die moeten geven – of een strafvervolging en grote boetes riskeren. Dat laatste ligt niet erg voor de hand. Daarmee kan de USA Patriot Act een krachtige disincentive zijn voor een onderneming om een in de VS gevestigde cloudprovider in te schakelen. Daarbij moet wel worden bedacht dat ook cloudproviders met een dochtervennootschap in de VS en cloudproviders die gebruik maken van een in de VS gevestigde cloudprovider ook onder de USA Patriot Act (kunnen) vallen. Daarmee blijft de mogelijkheid van opvraging door Amerikaanse opsporingsinstanties voor Nederlandse ondernemingen een belangrijk punt bij de keuze van een cloudprovider.

Daar komt bij dat doorgifte op bevel van een Amerikaanse onderzoeksinstantie niet is uitgezonderd van de voorwaarden voor doorgifte van de concept Verordening. Overweging 90 bepaalt simpelweg: ‘Transfers should only be allowed where the conditions for transfer to third countries are met’. Een overdracht onder de USA Patriot Act, waarvan de verantwoordelijke niet op de hoogte is, valt niet onder de uitzonderingen van artikel 42 (model clauses), artikel 43 (Binding Corporate Rules) of artikel 44 van de concept Verordening, die er immers alle van uitgaan dat de verantwoordelijke bij de overdracht is betrokken. Naar de letter genomen Een ongeautoriseerde doorgifte door de zou een ongeautoriseerde doorgifte door de cloudprovider kan de onderneming komen cloudprovider de te staan op een boete van maximaal 2% van onderneming kunnen komen te staan op een de jaarlijkse concernomzet. boete van maximaal 2% van de jaarlijkse concernomzet. In de praktijk zal dat niet snel gebeuren, omdat het immers niet de verantwoordelijke is die in strijd met de verordening persoonsgegevens doorgeeft of daartoe instructies geeft. Nu bekend is dat het risico bestaat dat Amerikaanse onderzoeksinstanties buiten medeweten van een onderneming via de cloudprovider bedrijfsinformatie opvragen is de vraag of een onderneming zich volledig kan disculperen als dat risico zich verwezenlijkt. Artikel 26 van de concept Verordening vereist immers dat de verantwoordelijke die door een derde, zoals een cloudprovider, persoonsgegevens laat verwerken bij de keuze van een bewerker een

116privacy: tips en tricks voor de ondernemingspraktijk

HOUTHOFF BURUMA117

Tips & Tricks selectie cloudprovider • Welke gegevens en/of welke software gaan in de cloud? • Wat zijn de grootste risico’s? • Welke maatregelen zijn nodig om deze zoveel mogelijk te beperken? • Zijn er wettelijke of contractuele beperkingen op het gebruik van de cloud? • Waar is de cloudprovider gevestigd en hebben opsporingsinstanties aldaar de bevoegdheid gegevens van de cloudprovider op te vragen? • Aan welke juridische en technische voorwaarden moeten de verwerkingen door de cloudprovider voldoen? • Blijft er voldoende IT-kennis in huis om niet volledig afhankelijk te worden van de cloudprovider? • Zijn er voldoende garanties voor beschikbaarheid en 24/7 toegang? • Heeft de cloudprovider afdoende beveiligingsmaatregelen genomen om ongeautoriseerde toegang en datalekken tegen te gaan? • Kan er op ieder moment een audit worden uitgevoerd om na te gaan of de cloud-provider aan de afspraken voldoet? • Zijn de wettelijke auditrechten van de toezichthouder gewaarborgd? • Worden de verwerkingen van persoonsgegevens goed vastgelegd t.b.v. de onderneming (welke gegevens worden verwerkt, waar en met welk doel, hoelang en wie heeft toegang tot de gegevens)? • Is voor de verwerking van gezondheidsgegevens van werknemers en andere gevoelige gegevens (whistleblowing procedures) toestemming verkregen van werknemers en OR? • Is de cloudprovider verplicht: - te voldoen aan verzoeken van betrokkenen om informatie, correctie of afscherming van hun gegevens? - datalekken te melden en mee te werken aan het onderzoek en de te nemen maatregelen? - mee te werken aan privacy-impactassessments van verwerkingen die bijzondere privacyrisico’s meebrengen? • Is er een goede exitregeling, zodat de overstap naar een nieuwe provider naadloos kan plaatsvinden?

Het privacyteam van Houthoff Buruma bestaat uit: Wolter Wefers Bettink partner bij Houthoff Buruma en gespecialiseerd in IP en IT litigation, privacy en e-business T +31 20 605 6167 | [email protected] Thomas de Weerd partner bij Houthoff Buruma en gespecialiseerd in IT, outsourcing, privacy en e-business T +31 20 605 6985 | [email protected]

Copyright © 2013 Houthoff Buruma Voorbehoud: Het is toegestaan om korte passages uit deze uitgave te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: “Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma”. Voor het overige mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. Deze uitgave is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan.

118privacy: tips en tricks voor de ondernemingspraktijk

HOUTHOFF BURUMA119