Toespraak Paul Frencken voor PON – 16 juni 2011 v3 – 14 juni 2011
Goeiemiddag,
Vandaag had Madeleine McLaggan, collegelid van het College bescherming persoonsgegevens, hier willen spreken over cloud computing en toepasselijk privacy-recht. Helaas is zij door familie-omstandigheden verhinderd, en wil ik u, namens het College, de belangrijkste aandachtpunten meegeven uit haar betoog.
Eerst over het begrip cloud computing. Ik ben geen technisch expert. Een medewerker heeft mij enigszins besmuikt verteld dat het begrip ‘cloud computing’ vooral bedoeld is om managers gerust te stellen. Het klinkt als iets luchtigs, iets dat heel eenvoudig te begrijpen valt, iets dat geen hoofdpijn oplevert, net zoals internet nog altijd als een wolkje wordt getekend in power point presentaties.
Ik ben bang dat die strategie niet alle zorgen heeft weggenomen. Veel bedrijven geven aan te worstelen met privacy-vraagstukken bij de overweging om al dan niet cloud computing in te zetten, en dan met name als ze gebruik willen maken van de public cloud van mondiale massaproviders. Welk recht is van toepassing, wie is precies de verantwoordelijke voor naleving van de privacy-wetgeving? Staat privacy-wetgeving in de weg aan het gebruik van deze innovatieve dienstverlening? Ik kan u uiteraard geen overzicht geven van het toepasselijk recht in allerlei verschillende omstandigheden, maar ik hoop u het komende kwartier wel handvatten te kunnen aanreiken om deze vragen zelf te kunnen beantwoorden. Van een juridisch vacuüm is in ieder geval geen sprake. Het fenomeen internationale doorgifte van persoonsgegevens is niet nieuw, evenmin als de daarbij behorende maatregelen en het uitgangspunt dat het Europees beschermingsniveau meereist met de persoonsgegevens. Cloud computing brengt wel nieuwe uitdagingen mee.
Kerneigenschap van cloud computing is dat de gegevens zich niet meer ergens bevinden. Dat wil zeggen dat de shared pool van servers, applicaties en diensten zich niet meer op 1 geografisch aanwijsbare plek, in 1 datacenter bevindt, maar dat de gegevens door talloze datacentra reizen. Gaat het bij offshoring vaak nog om uitbesteding van bepaalde taken aan 1 specifiek bedrijf, bij cloud computing is veelal een keten van partijen betrokken. Uitdagingen en risico’s
Die eigenschappen van cloud computing leiden tot nieuwe uitdagingen en risico’s. Ik geef u een aantal observaties.
Uit een onderzoek eind vorig jaar door oa het tijdschrift Cloudworks bij Nederlandse afnemers van cloud computing diensten bleek dat iets meer dan de helft van de afnemers het privacy-beleid van zijn cloudprovider niet kent. Is er sprake van blind vertrouwen in de technische en organisatorische beveiligingsmaatregelen van de cloudprovider? De betere mogelijkheden tot beveiliging worden immers vaak genoemd als overweging om cloud computing in te zetten. Tegelijkertijd blijkt uit recent onderzoek van het Amerikaanse Ponemon instituut dat maar liefst 75% van de cloud computing aanbieders in Europa zich niet verantwoordelijk voelt voor de beveiliging van persoonsgegevens. Die verantwoordelijkheid zou volgens hen bij de afnemers liggen. Als toezichthouder zien we daar een compliance risico ontstaan.
Los van compliance risico’s zien we nog een ander risico, van reputatieschade door gebrek aan transparantie. Een voorbeeld. In Engeland ontstond vorig jaar een groot schandaal, toen via de media bekend werd dat de National Health Service, de nationale ziektekostenverzekeraar, miljoenen papieren en op band ingesproken patiëntgegevens had doorgegeven aan een bedrijf in India. Dat bedrijf typte de gegevens over, en verzorgde afspraken met patiënten voor onder andere borstkankeronderzoek. Maar de doorgifte was niet beperkt tot simpele outsourcing van data-entry. Via een privaat bedrijf dat de NHS mede had opgericht, (Shared Business Services - SBS) kregen nog eens twintig bedrijven in India toegang tot de electronische patiëntendossiers van een zeer groot aantal Britse patiënten. In reactie op de publieke ophef stelde het bedrijf dat er alleen online toegang tot de data werd verleend. De medewerkers van de Indiase bedrijven konden de gegevens niet op eigen servers opslaan, alleen remote invoeren en bewerken. Bovendien had het bedrijf voldaan aan de formele regels voor doorgifte. Dit verweer hielp niet echt in de publieke opinie. Hoewel de NHS juridisch misschien volgens de regels had gehandeld, was de publieke perceptie dat de dienst stiekem uiterst vertrouwelijke gegevens van patiënten had doorgegeven aan bedrijven in India en dat de instelling daarmee onaanvaardbare risico’s had genomen. Het gebrek aan transparantie over de doorgifte leidde tot een enorme vertrouwensbreuk. Wettelijk kader
Op Europees niveau wordt gewerkt aan een herziening van het wettelijk kader op privacygebied. Naar verwachting maakt de Commissie in november 2011 bekend welke vorm dit
nieuwe kader aanneemt. Misschien weer een richtlijn, waarbij de lidstaten een zekere beleidsvrijheid houden, of een verordening, waarbij de vereisten tot in detail worden voorgeschreven. Of een combinatie van die twee instrumenten. Uit de eerste conclusies van de Europese Commissie en toespraken van commissarissen Kroes en Reding blijkt dat cloud computing daarbij speciale aandacht zal krijgen. Die regels worden niet alleen in Europa verduidelijkt. De Eurocommissarissen werken tegelijk aan verdere transatlantische harmonisatie. Dat blijkt onder andere uit de inzet bij de lopende herziening van het dataverdrag uit 1980 van de Raad van Europa. Dat wil zeggen, het grote Europa, van de 46 lidstaten. Het zal u niet ontgaan zijn dat de G8 onlangs een speciale internettop hebben gehouden en dat de mensenrechten-commissie van de Verenigde Naties onlangs een rapport heeft aangenomen over het belang van privacy op internet.
Uitgangspunt is en blijft het verzoenen van een adequate bescherming van persoonsgegevens met het vrije handelsverkeer, onafhankelijk van landsgrenzen. Binnen de EU mogen persoonsgegevens vrij uit reizen, maar wie gegevens daarbuiten wil brengen, naar landen zonder zogeheten passend beschermingsniveau, dient in beginsel een vergunning aan te vragen.
Daartoe zijn verschillende hulpmiddelen ontwikkeld. Er is bijvoorbeeld een Europees modelcontract voor doorgifte van gegevens door een verantwoordelijke in Europa naar een andere verantwoordelijke buiten de EU. Er is ook een modelcontract voor doorgifte van persoonsgegevens door een Europese verantwoordelijke naar een bewerker buiten de EU. Daarnaast heeft het bedrijfsleven zelf een instrument ontwikkeld, van harte door de toezichthouders ondersteund, de zogenaamde binding corporate rules. Dit instrument helpt om de druk te verminderen van het aanvragen van vergunningen voor doorgifte naar allerlei dochters en bewerkers binnen een wereldwijd concern.
Dat het beschermingsniveau meereist, is de kern van rechtmatige doorgifte. De hoofdregel is dat je als verantwoordelijke voor de verwerking van persoonsgegevens in Nederland of Europa verantwoordelijk blijft, ook al heb je de gegevens doorgegeven aan een partij buiten de EU. Uit handen geven betekent nooit dat de verantwoordelijkheid meegaat.
In de praktijk is het aanvragen van een vergunning voor doorgifte een gestroomlijnde procedure. Het College bescherming persoonsgegevens verwerkt per jaar gemiddeld 130 tot 140 aanvragen die gebaseerd zijn op een van de modelcontracten. Binnen twee weken worden die aanvraag gecontroleerd, en doorgestuurd naar het ministerie van Veiligheid en Justitie, dat de vergunning verleent.
Natuurlijk is de procedure van doorgifte bedoeld voor specifieke doorgifte aan 1 partij, binnen of buiten Europa. Toch is de sprong van doorgifte naar cloud computing minder groot dan velen soms denken, of die provider nou een bewerker is, of een zelfstandige verantwoordelijke.
Of een cloud provider verantwoordelijke is of bewerker, is afhankelijk van de specifieke context. In veel gevallen zal de cloud provider een bewerker zijn, maar als hij zelfstandig doel en middelen bepaalt kan de provider ook verantwoordelijk zijn voor dat deel van de gegevensverwerking.
In beide gevallen kan een Europees modelcontract worden gebruikt. In het modelcontract voor doorgifte van een exporterende verantwoordelijke naar een importerende verantwoordelijke wordt de wederzijdse civiele aansprakelijkheid vastgelegd voor naleving van de bepalingen in het contract. De afnemer van de clouddiensten blijft verantwoordelijk voor handhaving van een adequaat beschermingsniveau, en het toepasselijk recht wordt contractueel bepaald op het recht van de afnemer of exporteur. De importerende cloud provider is gebonden aan specifiek in het contract vastgelegde doeleinden van de verwerking en dient zich te houden aan de algemene beginselen van het Europese dataprotectierecht.
Als de importerende verantwoordelijke op zijn beurt weer gegevens doorgeeft naar bewerkers elders in de wereld, dient de importeur ervoor te zorgen dat de bewerker het contract meetekent, of dat de betrokkenen, nadat ze geïnformeerd zijn over het voornemen van doorgifte, zich hebben kunnen verzetten, danwel, als het om bijzondere persoonsgegevens gaat, dat betrokkenen vooraf toestemming hebben gegeven voor de doorgifte.
Een kenmerk van een aantal massaproviders van cloud diensten die buiten de EU zijn gevestigd is dat ze standaard algemene voorwaarden hanteren. Die zijn in de meeste gevallen echter niet toereikend. In veel gevallen is de cloud provider een bewerker met eigen verantwoordelijkheid voor in ieder geval beveiliging en informatie. En dus moet de verantwoordelijke een specifiek bewerkerscontract sluiten, waarbij de provider garandeert dat het noodzakelijke beschermingsniveau ook wordt gegarandeerd door alle overige partijen in de keten, op alle locaties. Bij het opstellen van een dergelijk contract is het modelcontract nuttig voor doorgifte naar bewerkers en subbewerkers buiten de EU.
De wettelijke vereisten leveren niet alleen een theoretisch compliance risico op. Eind 2010 heeft de Deense toezichthouder op de bescherming van persoonsgegevens (Datatilsynet) een handhavingsonderzoek afgerond en openbaar gemaakt naar het gebruik van Google apps door leraren in de Deense gemeente Odense. De leraren gebruikten de dienst om de voortgang van leerlingen bij te houden, online afspraken te maken en informatie te sturen aan de ouders. De Deense toezichthouder stelde vast dat de clouddiensten van Google niet voldeden aan de Deense privacywetgeving, ondermeer omdat niet duidelijk was waar de data zich precies bevonden, of de data ook in datacentra buiten de EU verbleven. Een ander belangrijk kritiekpunt van de Deense toezichthouder was het feit dat Google weigerde om een specifieke bewerkersovereenkomst te tekenen waarin het bedrijf expliciet toezegde zich aan de nationale privacyregelgeving te houden. Daardoor, en omdat de gemeente niet wist waar de gegevens zich fysiek bevonden, kon de gemeente als verantwoordelijke onvoldoende toezicht houden op de beveiliging van de gegevens.
Kortom, als verantwoordelijke voor de verwerking van persoonsgegevens in Europa blijf je verantwoordelijk, ook al heb je de gegevens doorgegeven aan een partij buiten de EU. In het licht van actuele ontwikkelingen wil ik nog twee bepalingen aanstippen uit de Wbp waarmee verantwoordelijken rekening dienen te houden bij het gebruik van cloud computing, namelijk beveiliging en de informatieplicht.
Ook voor beveiliging geldt dat de verantwoordelijke verantwoordelijk blijft. Een dataexporteur moet kunnen vaststellen dat de maatregelen van de cloud provider passende beveiliging bieden. In de modelcontracten is opgenomen dat de exporterende verantwoordelijke de getroffen technische en organisatorische beveiligingsmaatregelen desgewenst moet kunnen controleren, al dan niet met behulp van een externe auditor. Daarbij dienen verantwoordelijken in Europa rekening te houden met aankomende wetgeving op het gebied van datalekken. De primaire verantwoordelijke, die de gegevens heeft verzameld, blijft verantwoordelijk om de toezichthouder te informeren, en indien nodig ook de betrokkenen. Om aan die verplichting te kunnen voldoen, moet de verantwoordelijke wel tijdig en behoorlijk worden geïnformeerd over elk datalek door zijn cloudprovider. Voor de informatieplicht geldt dat verantwoordelijken hun klanten en/of werknemers moeten vertellen dat ze persoonsgegevens doorgeven en naar wie. Op grond van artikel 33 Wet bescherming persoonsgegevens / artikel 10 van de Europese dataprotectierichtlijn dient een verantwoordelijke nadere informatie te verstrekken over de ontvangers van de gegevens en de aard van de gegevensverwerking. Als een belangrijk deel van de gegevensverwerking plaatsvindt buiten de EU, is dit een belangrijke aspect van de
dienstverlening, dat eigen risico’s met zich meebrengt. Die risico’s rechtvaardigen naar het oordeel van het College dat de verantwoordelijke de betrokkenen nader informeert over de doorgifte. Een verantwoordelijke kan niet volstaan met het passief honoreren van eventuele inzageverzoeken. Een behoorlijke en zorgvuldige gegevensverwerking vereist dat een verantwoordelijke betrokkenen actief informeert over eventuele doorgifte naar 1 of meerdere partijen buiten de EU. Conclusie
Er is een beeld in de markt dat cloud computing ingewikkeld is, onduidelijk, en dat privacy daarbij een moeilijk aspect is. Die indruk heb ik hopelijk deels kunnen wegnemen. Online doorgifte van persoonsgegevens naar landen buiten de EU is geen nieuw fenomeen, en er is geen sprake van een juridisch vacuüm. Betrokkenen dienen erop te kunnen vertrouwen dat hun persoonsgegevens goed beschermd worden, ongeacht de plaats waar die gegevens verwerkt worden.
Het gaat uiteindelijk om de vraag of verantwoordelijken hun keuzes transparant kunnen verantwoorden, naar aandeelhouders en naar klanten. Berichtgeving in de media, zoals bij de Britse patiëntendossiers, leert dat als je essentiële eigenschappen van de dienstverlening achterhoudt, het toch wel uitkomt. En dat leidt tot enorme maatschappelijke verontwaardiging en een vertrouwensbreuk met klanten. Die verontwaardiging is niet beperkt tot bedrijven die slachtoffer zijn van beveiligingsincidenten, maar leidt tot een algemene roep om transparantie en accountability, van iedereen die actief is in deze keten.
Bedankt voor uw aandacht.