Strict b.v.

Gebouw Le Chêneau
Lange Dreef 11-f
4131 NJ Vianen

Volg ons
Blog

Hoe moet er worden omgegaan met de risico’s van privacybescherming in de Public Cloud?

Blog Cloud Privacy-1

De publieke sector en de Nederlandse overheid hebben een lange, vaak uitdagende geschiedenis wat betreft het gebruik van Cloud technologie. Van het originele beleid uit 2011 naar het onlangs bijgewerkte en uitgebrachte Cloudbeleid in 2022 heeft de regering zich ten doel gesteld het gebruik van publieke Cloud of hybride Cloudoplossingen voor de publieke sector niet onnodig te belemmeren. Stakeholders in de publieke sector zien de voordelen van het gebruik van ‘public’ of ‘hybride’ Cloud diensten voor wat betreft onderhoud, beschikbaarheid van systemen en de kosten die daarmee gemoeid zijn.   

Ondanks dat de Cloud veel voordelen biedt, zijn aan het gebruik helaas ook risico’s verbonden. In deze blog zullen wij ons richten op de risico’s met een focus op de bescherming van de privacy: te weten de risico’s door gebruik van bedrijven en de risico’s door toegang van overheden en opsporingsautoriteiten.  

 

Algemene Verordening Gegevensbescherming (AVG) 

De AVG, ook bekend als de General Data Protection Regulation (GDPR), is ontworpen om de privacy van individuen binnen de Europese Unie te beschermen en stelt regels vast voor het verzamelen, verwerken en opslaan van persoonlijke gegevens, zoals naam, adres, woongegevens, maar ook levensovertuigingen of medische gegevens. De AVG biedt individuen meer controle over hun persoonlijke gegevens en verplicht organisaties om bepaalde procedures en veiligheidsmaatregelen in te voeren om de gegevens te beschermen, zodat er geen misbruik van gemaakt zou mogen worden. 

Om AVG-compliant te zijn, moeten organisaties ervoor zorgen dat ze de juiste procedures, beleidslijnen en systemen hebben geïmplementeerd om te voldoen aan de vereisten van de AVG. Dit omvat onder meer het waarborgen van de juistheid van de gegevens, het beperken van de toegang tot gegevens tot alleen degenen die deze nodig hebben, het waarborgen van de beveiliging van de gegevens en het implementeren van procedures voor het verwijderen van gegevens wanneer deze niet langer nodig zijn. 

Organisaties moeten er ook voor zorgen dat ze de juiste juridische grondslag hebben voor het verzamelen en verwerken van persoonlijke gegevens, dat individuen voldoende informatie krijgen over hoe hun gegevens worden gebruikt en dat de gegevens van individuen gebruikt mogen worden voor bepaalde doeleinden.  

 

AVG-risico’s 

Wat betreft de AVG-risico’s kunnen een aantal soorten worden onderscheiden, te weten: 

  1. Risico’s bij clouddienstproviders;
  2. Risico’s bij andere commerciële partijen;
  3. Risico’s door toegang van overheden en opsporingsinstanties.
Risico’s bij clouddienstproviders 

Wanneer een provider, zoals Microsoft of Amazon, diensten levert waarbij gegevens worden opgeslagen in hun datacenters of waarbij onderhoud, toegangsbeheer of applicatiebeheer door de provider wordt uitgevoerd, bestaat het risico dat persoonsgegevens worden opgeslagen of benaderd vanuit locaties die niet voldoen aan de AVG-eisen, zoals bijvoorbeeld de Verenigde Staten, India of China. De AVG gaat ervan uit dat als de persoonsgegevens binnen de EU of de Europese Economische Ruimte (EER) worden verwerkt er in ieder geval sprake is van een voldoende beschermingsniveau. Dat betekent dat verwerking in Nederland niet noodzakelijk is. 

Er bestaat risico dat medewerkers van de dienstverleners toegang krijgen tot vertrouwelijke persoonsgegevens en deze mogelijk gebruiken voor ongeoorloofde doeleinden, zoals bijvoorbeeld het delen van deze gegevens met criminele organisaties of aan partijen die bij de verkoop van producten of diensten zich niet aan de AVG houden. Het inrichten van goede beveiligingsmaatregelen, zoals toegangsbeheer en encryptie en het maken van afspraken met de provider over de locaties waar gegevens worden opgeslagen en waar vandaan toegang wordt verkregen tot de gegevens, kan helpen om de risico’s te verminderen.  Het is echter niet mogelijk om alle risico’s uit te sluiten.  

De vertrouwelijkheid en integriteit van persoonsgegevens kan onder druk komen te staan wanneer deze in de Cloud worden opgeslagen, omdat het onduidelijk kan zijn waar de opslag plaatsvindt en wie toegang heeft tot de gegevens. Het implementeren van auditrechten om de naleving van gemaakte afspraken te controleren, kan helpen als extra maatregel. 

Risico’s bij andere commerciële partijen 

Stel je voor dat de gegevens worden verwerkt in landen waar de beperkingen op het gebruik van persoonsgegevens minder streng zijn dan in Europa. Leveranciers in die landen kunnen deze gegevens doorverkopen aan derden of kunnen deze gebruiken om ongewenste aanbiedingen te doen, zonder dat de betrokken persoon hiervoor toestemming heeft gegeven. Dit kan resulteren in een overvolle spambox. 

Om dit te voorkomen is het belangrijk om afspraken te maken over het specifieke doel waarvoor de gegevens worden gebruikt en om expliciet contractueel te verbieden dat de gegevens in welke vorm dan ook aan derde partijen worden verstrekt zonder wettelijke verplichting. Dit biedt enige mate van bescherming, zeker indien aangevuld met afspraken over audits. 

Risico’s door toegang van overheden en opsporingsinstanties 

Opslag of toegankelijkheid van data vanuit landen met een lagere beschermingsstandaard kan leiden tot een verplichting voor leveranciers om deze data te delen met overheidsinstanties of wetshandhavers op basis van de wetten in die landen. Dit kan minder wenselijk zijn in het licht van de hogere beschermingsstandaard die geldt in Europa.  

Een voorbeeld van een onvoldoende beschermingsniveau is te zien in het Schrems II-arrest van het Europese Hof van Justitie. Hierin werd geoordeeld dat het beschermingsniveau dat in de Verenigde Staten wordt geboden, ondanks afspraken tussen de Verenigde Staten en de Europese Unie, niet voldoet aan de hogere beschermingsstandaard die in Europa geldt. Dit komt mede doordat de Amerikaanse overheid het recht heeft om bedrijven die onder het Amerikaanse rechtssysteem vallen te verplichten om informatie over burgers te verstrekken, zelfs als deze burgers bijvoorbeeld Europees zijn. 

Als data van Europese burgers wordt opgeslagen op servers in de Verenigde Staten of vanuit de VS toegankelijk is in verband met onderhoud of toegangsbeheer, kan niet worden uitgesloten dat deze data met de Amerikaanse overheid wordt gedeeld, terwijl dit in strijd is met Europese normen. Hetzelfde kan gebeuren in andere landen die zich niet hebben gecommitteerd aan de AVG en die geen adequaatheidsafspraken hebben gemaakt met de Europese Unie. 

 

Opvatting van Autoriteit Persoonsgegevens (AP) 

Op 11 november 2022 heeft de AP, de organisatie in Nederland die toezicht houdt op de naleving van de privacywetgeving, haar adviezen gepubliceerd met betrekking tot de privacyaspecten van het door de overheid gepubliceerde Cloud beleid. 

Een belangrijk punt dat de AP naar voren brengt is dat het onderscheid tussen publieke, hybride en private Cloud minder relevant is dan de locatie van de servers waarop de data worden opgeslagen en van waaruit toegang tot de data kan worden verkregen, bijvoorbeeld voor onderhoudswerkzaamheden. Het beschermingsniveau wordt beïnvloed door deze locatie. 

Daarnaast wijst de AP erop dat er onvoldoende aandacht is voor de opslag van data in of de toegang tot data vanuit landen die geen onderdeel zijn van de Europese Economische Ruimte. Duidelijke afspraken over de verwerking van persoonsgegevens in die landen moeten altijd worden gemaakt. 

De AP vraagt ook aandacht voor de controleerbaarheid van de gemaakte afspraken om te waarborgen dat deze worden nagekomen. Speciale aandacht verdient telemetrie, vooral wanneer deze gegevens worden gebruikt voor analyse en statistiek. Bij gebruik van telemetrie in verband met medische gegevens zijn goede afspraken essentieel. 

Tot slot stelt de AP voor om de toepasselijkheid van de Handreiking CIO Rijk voor de beoordeling van de gevolgen van een voorgenomen gegevensverwerking buiten de EER, steviger in relevante wetgeving te verankeren, zowel voor de rijksoverheid zelf als voor zelfstandige bestuursorganen. Andere bestuursorganen en organisaties binnen de publieke sector moeten deze Handreiking ook als uitgangspunt nemen voor hun risicobeoordeling of DPIA bij het voornemen om gebruik te gaan maken van clouddiensten. 

 

Recente ontwikkeling 

Dat niet alleen de AP zich zorgen maakt over opslag van privacygevoelige data in de Cloud blijkt uit de opstelling van de Tweede Kamer die 21 februari jl. met ruime meerderheid een motie aannam waarin wordt opgeroepen tot het “heroverwegen van de doorgifte van persoonsgegevens en overheidsdata naar landen buiten de EER en het kiezen voor een Europees Cloud initiatief”. 

 

Conclusie 

Toen de AVG net in werking trad, leek hij een goede functie te hebben en resulteerde dat in een overvloed van zichtbare maatregels, door bijvoorbeeld cookies-walls, opt-in in plaats van opt-out mailings, maar door weinig controle van toezichthouders en lage pakkans, heeft dit nog niet geresulteerd in blijvend minder spam in de inbox.  

Het risico dat wij zien is dat de AVG kan verworden tot een papieren tijger. Op papier kan je alles zo goed en mooi ingeregeld hebben inclusief alle audits en rechten, maar uiteindelijk kan het lastig zijn alles te blijven controleren. Een audit is een momentopname en bied geen garantie voor een toekomstig gebruik. Hierdoor zou je een aantal principes moeten implementeren zoals een goed toegangsbeheer tot persoonsdata, continuous logging van je data en toegangsbeheer, en monitoring van de verwerking van je persoonsgegevens met alerting bij overtreding. Dit is voor een bedrijf vaak goed te doen, maar voor een individu lastig en/of kostenverhogend. Daarnaast is het de vraag of een individu weet hoe men bijvoorbeeld met zaken als encryptie om moet gaan. 

Ontvang updates via mail