Bescherming persoongegevens bij IaaS

Tegenwoordig gebruiken veel organisaties SaaS of IaaS diensten. Wat in mijn beleving regelmatig wordt vergeten is dat hier vaak persoonsgegevens mee gemoeid zijn. Deze persoonsgegevens worden in Nederland door de wet bescherming persoonsgegevens (WBP) beschermd. Dat maakt dat er restricties verbonden zijn aan het gebruik van deze gegevens.

Voor een van onze recente projecten heb ik uitgezocht hoe de vereisten van de WBP zich tot IaaS providers als Amazon Web Services (AWS), Google Cloud & Microsoft Azure verhouden. De wet vereist namelijk dat je een overeenkomst over deze gegevens sluit met de organisatie waar je de gegevens opslaat. Dit kan als snel complex worden als je zaken doet met een IaaS provider. Daarbij moet je denken aan partijen als AWS, Google Cloud & Azure. Zelfs wanneer je gebruik maakt van een tussenpersoon, is jouw organisatie, verantwoordelijk voor de afspraken tussen je tussenpersoon en de IaaS providers.

Persoonsgegevens
In de praktijk komt het er vervolgens op neer dat je nagenoeg altijd persoonsgegevens verwerkt. Dit komt omdat de opvatting van verwerken ruim is (opslaan is ook verwerken). Bovendien is de definitie van persoonsgegeven ook veelomvattend. Ieder gegeven dat betrekking heeft op een persoon kan een persoonsgegeven zijn. Daar komt nog eens bovenop dat de definitie als het ware meegroeit met de tijd. Iets wat nu nog geen persoonsgegeven is omdat het teveel tijd of geld kost om iemand aan de hand daarvan te identificeren kan wanneer dit wel eenvoudig mogelijk wordt toch binnen de definitie van persoonsgegeven vallen.

Vereisten
De vereisten die gesteld worden aan het gebruik van persoonsgegevens zijn eigenlijk simpel, je moet als verwerker (lees: gebruiker) van persoonsgegevens, zorgvuldig met gegevens om te gaan. Als het om webapplicaties gaat komt dat in de praktijk vaak neer op de verplichting tot het maken van afspraken met je leverancier. An sich kan dit redelijk eenvoudig, er zijn op het internet diverse bewerkersovereenkomst voorbeelden en -generators te vinden.

Wanneer je echter gebruik maakt van IaaS providers is het complex. Het is immers niet eenvoudig om een directe overeenkomst met bijvoorbeeld AWS te sluiten. Toch is dit vaak wettelijk verplicht, en aangezien veel organizaties zaken doen met vergelijkbare providers levert dat de vraag op hoe je dat aan moet pakken.

Oplossing
Gelukkig is er een redelijk eenvoudige oplossing. AWS, Google Cloud & Azure hebben met de Europese Unie (Article 29 WP) een akkoord gesloten. Daarbij worden, een aantal standaard clausules met betrekking tot persoonsgegevens, in het contract tussen uw organisatie en de IaaS provider opgenomen. Dit gebeurt echter niet standaard, bij AWS moet je dit bijvoorbeeld nadrukkelijk aanvragen.

Omdat de WBP een nationale implementatie van de databeschermingsrichtlijn (95/46/EG) is. Voldoe je, door het opnemen van deze, door de EU goedgekeurde bepalingen, aan het in Nederland geldende vereiste van de bewerkersovereenkomst.

Let wel op, je hebt dan wel een bewerkersovereenkomst, maar hier moet je natuurlijk wel op een goede manier invulling aan geven.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.