EDPS geeft richtlijnen vrij voor cloud computing

Als je organisatie gebruikmaakt van clouddiensten, ben je je ongetwijfeld bewust van de vele voordelen ervan. Heb je echter stilgestaan bij de gegevensbeschermingsrisico’s? Nu de algemene verordening gegevensbescherming (AVG) – internationaal bekend als de EU General Data Protection Regulation (GDPR) – sinds 25 mei 2018 van kracht is, is deze vraag dringender dan ooit.

Veel organisaties gaan er automatisch van uit dat de beveiliging van de cloud sterk is, en gebruiken het dan ook om er zoveel mogelijk gegevens in op te slaan. De cloud is echter kwetsbaar voor cyberaanvallen, en als organisatie ben je verantwoordelijk voor het veilig opslaan en bewaren van gegevens. Dit geeft organisaties dan ook minder controle over de manier waarop hun gegevens opgeslagen en beschermd worden.

Organisaties worden niet geacht om te stoppen met het gebruiken van de cloud, maar de European Data Protection Supervisor (EDPS) heeft wel richtlijnen vrijgegeven die organisaties kunnen gebruiken om de risico’s te verminderen. De richtlijnen vormen de basis voor een voorgestelde EU-verordening betreffende cloud computing en zijn in overeenstemming met de vereisten van de AVG.

Stappen om te overwegen

Onderzoek is essentieel, aldus de EDPS. Voordat je je gegevens opslaat in de cloud, is het belangrijk dat je de verschillende mogelijkheden weet die cloudcomputerdiensten aanbieden. Daarnaast is het aan te raden om advies te vragen aan organisaties die met deze verschillende cloudcomputerdiensten gewerkt hebben. Dit helpt je om de gegevensbeschermingsmogelijkheden te identificeren die je organisatie nodig heeft om aan de veiligheidsstandaarden en relevante wetgeving te voldoen.

Als je niet genoeg veiligheidsmaatregelen kan vinden, dan dringt de EDPS erop aan om een minder risicovolle clouddienst te vinden.

Zelfs wanneer je tevreden bent met de voorgestelde veiligheidsmaatregelen voor de cloud die je organisatie kan gebruiken, ben je nog niet volledig voorbereid. Voordat je gebruik maakt van een cloudcomputerdienst, word je geadviseerd om functies voor het beheren van de cloud aan te stellen, interne beleidsregels vast te stellen, en belangrijke taken en bronnen vrij te geven.

Bovendien is het belangrijk om besluitvormers, bedrijfseigenaren, contractmanagers en IT-medewerkers op te leiden om de gegevensbeschermingsrisico’s die clouddiensten met zich meebrengen te kunnen identificeren.

Werken met cloudcomputerdiensten

De laatste stap is zorgen dat de cloudcomputerdienst die je voor je organisatie gebruikt voldoet aan de volgende eisen:

  • Het zal persoonsgegevens die aan je organisatie zijn toevertrouwd uitsluitend verwerken op basis van je gedocumenteerde instructies;
  • Degenen die verantwoordelijk zijn voor het verwerken van persoonsgegevens zijn verplicht tot vertrouwelijkheid of hebben een passende wettelijke verplichting tot vertrouwelijkheid;
  • Verantwoordelijkheden en aansprakelijkheden van verschillende partijen (inclusief eventuele sub-verwerkers) zijn uiteengezet;
  • Het zal je organisatie ondersteunen bij het nakomen van verplichtingen als verantwoordelijke voor de betrokkenen en de EDPS;
  • Het is toegestaan om controles uit te oefenen op de cloudcomputerdienst waar je organisatie gebruik van maakt;
  • Je organisatie is zich bewust van de locatie van de cloudcomputerdienst en de eventuele sub-verwerkers;
  • Je organisatie kent de gegevensverwerkingshandelingen (inclusief back-ups) van de cloudcomputerdienst en eventuele sub-verwerkers;
  • Het zal geen andere verwerker inschakelen zonder eerst schriftelijke toestemming van je organisatie te vragen;
  • Informatie wordt niet vrijgegeven aan rechtshandhavingsinstanties, tenzij deze uitdrukkelijk door EU-wetgeving is toegestaan;
  • Er zijn procedures voor het overdragen, herstellen en verwijderen van gegevens; en
  • Je organisatie kan verzoeken om persoonsgegevens te verwijderen of terugsturen aan het einde van de dienstverlening.

De AVG volledig naleven

Deze lijst aan vereisten lijkt in eerste instantie overweldigend en zelfs ontmoedigend. Degenen die binnen je organisatie verantwoordelijk zijn voor gegevensbescherming zullen ongetwijfeld hun handen vol hebben aan de vele vereisten van de AVG.

Toch is het de moeite waard om de richtlijnen en het advies van de EDPS zo snel mogelijk op te volgen, aangezien het de AVG-positie van je organisatie zeker zal versterken. Misschien zijn de huidige maatregelen die je organisatie neemt niet genoeg, waardoor het automatisch kwetsbaarder wordt voor boetes en andere disciplinaire maatregelen. Deze kwetsbaarheden hoeven niet per se groot te zijn. De kleinste fouten, zoals het weglaten van bepaalde informatie in je privacybeleid, kunnen al grote gevolgen hebben.

De beste manier om fouten te voorkomen is ervoor te zorgen dat iedereen binnen je organisatie die met persoonsgegevens omgaat zich bewust is van de AVG-vereisten. Hoe meer mensen weten welke stappen voor de organisatie genomen moeten worden in bepaalde situaties, des te sneller een probleem kan worden opgemerkt en gemeld.

Om te beginnen is het aan te raden om relevante werknemers binnen je organisatie aan te melden voor onze Certified GDPR Foundation Training Course.

De cursus wordt door een ervaren gegevensbeschermingsdeskundige geleverd, die het volgende zal uitleggen:

  • De achtergrond en terminologie van de AVG;
  • De zes beginselen inzake verwerking van persoonsgegevens;
  • De functie van de verwerkingsverantwoordelijke;
  • De rechten van betrokkenen;
  • Hoe je persoonlijke gegevens kunt beveiligen; en
  • Hoe je gegevensinbreuken het beste kunt melden.

Deze eendaagse cursus wordt op verschillende locaties in Europa gegeven, waaronder Amsterdam en Brussel. Deze training is bedoeld voor directeuren of managers die willen begrijpen hoe de AVG hun organisatie zal beïnvloeden, medewerkers die verantwoordelijk zijn voor AVG-naleving en voor diegenen die een basiskennis van gegevensbescherming hebben en hun carrière verder willen ontwikkelen.

De cursus is momenteel nog niet beschikbaar in het Nederlands, maar wel in het Engels, Frans, Duits, Italiaans en Spaans.

Vragen over ons aanbod aan cursussen? Neem hier gerust contact met ons op.

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.