Facebook heeft in het verleden naar de seksuele geaardheid van gebruikers gevraagd en op basis van deze informatie gerichte advertenties getoond. Volgens de spelregels van de Nederlandse privacywetgeving is dit niet toegestaan. Maar wat als het Europese hoofdkantoor en datacenters in Ierland staan? Geldt de Nederlandse wetgeving dan nog wel?

De Nederlandse privacywetgeving lijkt in de meeste gevallen duidelijk: iedere in Nederland gevestigde organisatie moet zich aan de spelregels houden. Bij publieke clouddiensten met servers over de grens ontstaat echter een ingewikkelde situatie. Welke privacyspelregels gelden in de public cloud?

Bijzondere persoonsgegevens

Facebook mag volgens de Autoriteit Persoonsgegevens (AP) niet zomaar data vragen over de seksuele voorkeur van gebruikers. Het gaat hierbij namelijk om bijzondere persoonsgegevens. Deze mogen alleen onder zeer strikte voorwaarden worden verwerkt. Het tonen van gerichte advertenties is daar in ieder geval niet een van.

Facebook verweerde zich: het Europese hoofdkantoor en de datacenters staan in Ierland, buiten het bereik van de Nederlandse wetgeving. De AP zou dus helemaal geen recht van spreken hebben. Volgens de AP speelde de Nederlandse vestiging van het bedrijf echter een rol in het geheel, door Nederlandse bedrijven te adviseren over de advertentiemogelijkheden op het sociale netwerk. De kwestie heeft volgens de AP dus wel degelijk een Nederlands tintje.

Belangrijkste spelregels

Het laatste woord over de kwestie is nog niet gezegd. Wel is duidelijk dat privacywetgeving in de cloud niet altijd vanzelfsprekend is en jurisdictie absoluut een rol speelt. Daar dient u serieus rekening mee te houden als een cloudprovider namens u persoonsgegevens van uw klanten bewerkt.

Gelukkig zijn er ook een aantal ‘harde’ afspraken waar cloudproviders aan moeten voldoen. De public cloud is erg privacyvriendelijk, zolang providers zich houden aan een aantal spelregels van de Nederlandse privacywet. We zetten de belangrijkste op een rij:

Bewerkersovereenkomst

Veel public clouddiensten verwerken persoonsgegevens. Niet alleen van hun klanten, maar in veel gevallen ook van de klanten van hun klanten. Denk aan een administratiekantoor dat gebruikmaakt van een SaaS-oplossing voor onlineboekhouden, of een uitgever die een abonnementenbestand bijhoudt in Office 365.

In zo’n geval is een bewerkersovereenkomst altijd verplicht. Dat is een officieel document waarin de organisatie afspraken maakt met de cloudprovider over de gegevensbewerking. De cloudprovider belooft in zo’n overeenkomst eenvoudig gezegd dat het zijn best doet de privacy van de klanten van de organisatie waarmee het de overeenkomst sluit zo goed mogelijk te beschermen. Ook maakt u in zo’n overeenkomst afspraken over verantwoordelijkheden bij een datalek.

Serieuze beveiligingsmaatregelen

Een cloudprovider die persoonsgegevens verwerkt, is verplicht serieuze beveiligingsmaatregelen te nemen. Het gaat daarbij zowel om technische securitymaatregelen als organisatorische afspraken en procedures. Denk dus aan zaken als securitysoftware, een deugdelijke firewall, IDS/IPS, maar ook aan een duidelijk gedocumenteerd privacybeleid.

Meldplicht richting verantwoordelijke

Een cloudleverancier moet zijn klanten direct op de hoogte brengen bij een datalek. Dus niet rechtstreeks melden bij de AP, die verantwoordelijkheid ligt bij de klant. Die is immers weer eindverantwoordelijk over de persoonsgegevens van zijn klanten, ook wanneer de cloudleverancier bewust of onbewust zijn mond houdt over het lek. Dat is direct een sterk argument om alleen met cloudleveranciers in zee te gaan met een goede staat van dienst.

Doorgifte naar buitenland

Het kan voorkomen dat de cloudprovider data verhuist naar een land buiten de EU. Als klant moet je dat scherp in de gaten houden en harde afspraken over maken. De privacywetgeving verbiedt namelijk het verplaatsen van persoonsgegevens naar niet-EU-landen, tenzij het land over een minstens zo hoog beschermingsniveau beschikt. Een providerwissel kan in zo’n geval noodzakelijk zijn om aan de Nederlandse privacywetgeving te blijven voldoen. Bijvoorbeeld wanneer de data verhuizen naar een land dat weinig tot geen privacyregels kent.

Die waakzaamheid geldt overigens ook wanneer de cloudprovider toegang tot persoonsgegevens op afstand verleent aan een niet-EU-land, zoals een helpdesk in India. Ook dan kan sprake zijn van verwerking van persoonsgegevens door niet-bevoegde personen en dus een overtreding van de privacywet.

De VS: een apart geval

De Verenigde Staten zijn wat betreft de cloud een vreemde eend in de bijt. Komen data van Europese burgers terecht op Amerikaanse servers, dan vallen deze onder het Privacy Shield. Het Amerikaanse cloudbedrijf moet wel zijn aangemeld op het Privacy Shield-programma. Is dat het geval, dan mogen persoonsgegevens door hen worden verwerkt. Het moet echter nog maar blijken hoe duurzaam deze afspraak is. De afspraak kan ieder jaar worden bijgewerkt.

De private cloud is met de enige oplettendheid absoluut geen privacyonvriendelijke plek. Goed voorwerk en duidelijke afspraken met de cloudprovider verminderen de kans op datalekken en andere ellende.