21 november 2014

Juridische aspecten van cloud computing

NL Nieuws Juridische aspecten van cloud computing

Door Tessa Viragh bedrijfsjuridisch adviseur bij Grant Thornton.

 

Cloud computing is een verzamelnaam voor technologie waarmee (via netwerken en servers) hardware en software via het internet beschikbaar wordt gesteld. Voorbeelden zijn: diensten of software die via een website, portal of virtuele omgeving worden aangeboden door een cloudleverancier, waar u of de eindgebruikers vervolgens gebruik van kunnen maken. Met welke juridische aspecten moet u rekening houden wanneer u van deze technologie gebruik maakt?

 

Privacy
Inherent aan cloud computing is dat data wordt geplaatst in de ‘cloud’. U moet er in dat verband rekening mee houden dat sommige data valt onder de Wet Bescherming Persoonsgegevens (Wbp). Waar de persoonsgegevens van betrokkenen (bijvoorbeeld. klanten en personeel) voorheen op de eigen systemen opgeslagen stond, worden deze door middel van de clouddienst op de servers van de clouddienstverlener opgeslagen.

 

Belangrijk daarbij is dat u moet nagaan waar data wordt opgeslagen. Op grond van de Wbp is doorgifte van persoonsgegevens naar een land buiten de EU/EER namelijk in beginsel verboden. Met de cloudprovider moet u bijvoorbeeld afspreken dat de gegevens niet op een server buiten de EU worden gezet.

 

Beveiliging
Uit de Wbp vloeien belangrijke verplichtingen voort voor partijen die toegang hebben tot de persoonsgegevens, zoals de plicht te zorgen voor een adequate beveiliging. Is die onvoldoende, dan kunt u bij verlies of onbevoegd gebruik van de (persoons-)gegevens of als de betrokkenen schade wordt berokkend, aansprakelijk worden gesteld.

 

Of u de eventuele schade op uw cloudleverancier kunt verhalen, hangt af van de afspraken die u heeft gemaakt. Vaak zijn cloudleveranciers machtige partijen die het liefst een zo gestandaardiseerd mogelijk dienst verlenen en hun aansprakelijkheid uitsluiten. Het is daarom goed om van te voren stil te staan bij de gevaren en de afspraken duidelijk vast te leggen.

 

Vaak maakt de clouddienstverlener gebruik van de diensten van een derde partij, waar bijvoorbeeld de infrastructuur of server wordt gehost. Is het bekend waar de data wordt opgeslagen? Heeft u dan nog toegang tot de data? Bent u bijvoorbeeld een back-up verplichting met de cloudleverancier overeengekomen? Ook dit zijn zaken waarover afspraken gemaakt moeten worden.

 

De Wbp schrijft voor dat afspraken tussen u en de cloudleverancier worden vastgelegd (in een zogenaamde bewerkersovereenkomst) omtrent bijvoorbeeld de beveiliging, een verbod van de cloudleverancier om de gegevens voor andere dan de afgesproken doeleinden te gebruiken, inzagerecht voor de betrokkene en controle door uzelf, als verantwoordelijke.

 

Datalekken
Ook de regering treft maatregelen. Zo is bij de Tweede Kamer een wetsvoorstel in behandeling waarin een meldplicht wordt geïntroduceerd in geval van een datalekken. U moet er rekening mee houden dat wanneer er sprake is van diefstal, verlies of misbruik van persoonsgegevens u dit straks moet melden aan de betrokken personen én aan het College Bescherming Persoonsgegevens.

 

Risico’s
Kortom het is van belang om na te gaan of de afspraken met uw cloudprovider voldoende rekening houden met de risico’s en of er voldoende contractuele zekerheden zijn gesteld.