Print:

Cloud computing: dit is wat privacy officers ermee moeten

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Steeds meer organisaties werken in de cloud. Dat brengt risico’s mee die niet alleen op het bord komen van IT en legal, maar ook van data protection officers. Drie issues om als privacyprofessional in de gaten te houden.

Security voor Privacy Professionals | IIR

 

Het gros van de organisaties is tegenwoordig op een of andere manier in the cloud. Software draait bijvoorbeeld via de cloud, of dossiers worden in de cloud opgeslagen. Het beheer van cloud computing is niet alleen een taak van IT en legal. Ook privacy officers krijgen ermee te maken. Bijvoorbeeld als het gaat om de beveiliging van persoonsgegevens op de servers van cloudproviders.

Data protection officers hebben doorgaans geen diepgaande kennis van de technische en organisatorische facetten van cloudtoepassingen. Dat is ook niet altijd noodzakelijk. Het gaat erom voldoende te weten om de inhoudsdeskundigen de juiste vragen te stellen – en om de antwoorden te toetsen aan de normenkaders voor dataprotectie en privacy.

Met het oog op de naleving van bijvoorbeeld de Algemene verordening gegevensbescherming (AVG) vraagt een aantal zaken rond cloud computing om bijzondere aandacht. Security is daarvan de meest in het oog springende: worden de persoonsgegevens in de cloud voldoende beveiligd tegen lekken en hacks? Drie issues om hierbij in de gaten te houden.

Verwerkersovereenkomsten

Cloud-providers zijn doorgaans verwerkers, zoals bedoeld in artikel 4 en 28 van de AVG. Dat betekent onder meer dat er met deze partijen een verwerkersovereenkomst moet worden afgesloten. De AVG schrijft uitvoerig voor wat er allemaal in zo’n schriftelijke overeenkomst komt te staan.

Privacy officers hebben een spilfunctie in het opstellen van verwerkersovereenkomsten. Daarvoor is het noodzakelijk om na te gaan of de verwerker voldoende technische en organisatorische maatregelen neemt om de privacy van de betrokkenen te waarborgen. Dit kan ook een belangrijke overweging zijn bij de selectie van leveranciers van clouddiensten.

Meldplicht datalekken

Volgens de AVG mag een organisatie alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar de opdrachtgever blijft uiteindelijk verantwoordelijk voor de naleving van de wet. Dat geldt ook als er – als gevolg van inadequate beveiliging – bij een cloudprovider een datalek plaatsvindt. Gedupeerde burgers kunnen dan bovendien zelf kiezen of zij een schadevergoeding indienen bij de cloudprovider of de opdrachtgever daarvan. Wie overweegt in de cloud te gaan – of bestaande cloudtoepassingen in het kader van AVG-compliance onder de loep neemt – doet er dan ook goed aan om met providers heldere afspraken te maken over procedures, aansprakelijkheid, verzekeringen en schadevergoedingen bij datalekken.

Expertise

Cloudproviders zijn zich terdege van bewust de zorgen die gebruikers hebben over de beveiliging van data in de cloud. Security is dan ook een topprioriteit bij cloudapplicaties. Er wordt wel eens gezegd dat een cloudprovider beter in staat is om data te beschermen dan de organisatie zelf. ICT is nu eenmaal de corebusiness van cloudproviders – en security behoort tot de voorwaarden voor consumentenvertrouwen in hun producten. Vanuit dit perspectief kunnen privacy officers in cloudleveranciers een sparring partner vinden als het gaat om maatregelen voor de beveiliging van persoonsgegevens. Daarnaast kunnen cloudbeheerders organisaties securityvraagstukken uit handen nemen. Als onderdeel van Security-as-a-Service vertaalt de leverancier de gewenste beveiliging dan naar passende securitymaatregelen. Het is ook mogelijk om daarbij afspraken te maken over monitoring en onderhoud.

Met de juiste kennis – binnen de organisatie, maar ook vanuit leveranciers – kunnen privacy officers dus een bijdrage leveren aan een verantwoorde toepassing van cloud computing. Gezien de verwachte opmars van cloudtechnologie is dat een taak die de komende jaren alleen maar belangrijker zou kunnen worden.

Als data protection officer alle relevante kennis opdoen over security, bijvoorbeeld bij cloud computing? Volg de driedaagse praktijkcursus Security voor privacyprofessionals.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten