Casus: Privacy in de cloud - wie is er verantwoordelijk
Zo complex is het om een juiste privacy van je persoonlijke gegevens te organiseren.

Casus: Privacy in de cloud - wie is er verantwoordelijk

Redactie Baaz

Deze casus laat zien hoe complex het kan zijn om een juiste privacy van je persoonlijke gegevens te organiseren.

Bedrijf A is een groot bedrijf dat veel personeelsgegevens en klantgegevens in zijn systeem heeft. Om efficiënter te werk te gaan en meer overzicht te krijgen, schakelt het bedrijf een cloudaanbieder in die de personeels- en de klantenadministratie voor hem beheert.  De cloudaanbieder is in Nederland gevestigd, maar bewaart de gegevens van zijn opdrachtgevers op een server in Amerika. In de eerste maanden van het jaar is het altijd erg druk bij de cloudaanbieder, vanwege de belastingaangifte die voor 1 april gedaan moeten worden. Omdat de aanbieder in die maanden niet genoeg ruimte in zijn cloud heeft, stalt hij doorgaans de klantenadministratie van bedrijf A op de server van een collega in Mexico.

Deze casus laat zien hoe complex het kan zijn om een juiste privacy van je persoonlijke gegevens te organiseren. Stel dat jij bedrijf A bent, dan worden de volgende juridische stappen gemaakt om jouw gegevens zo goed mogelijk te beschermen:

  1. Allereerst is er een juridisch onderscheid tussen personeelsgegevens en klantgegevens. De privacywetgeving geldt alleen voor persoonsgegevens. Dat wil zeggen gegevens die te herleiden zijn tot een individu. Staan er persoonlijke gegevens van je klanten vermeld bij de klantgegevens? Dan is de Wbp wel van toepassing. 
     
  2. De verantwoordelijke is het bedrijf A. De cloudaanbieder is de bewerker. Bedrijf A zal zich er dus van moeten vergewissen dat de cloudaanbieder voor wat betreft de verwerking van de gegevens voldoende beveiligingsmaatregelen heeft genomen om de persoonsgegevens te beveiligen en dat bovendien wordt voldaan aan de andere eisen die de Wbo stelt. De verantwoordelijke, bedrijf A, zal dus met de cloudaanbieder een bewerkersovereekomst moeten sluiten.
    Vaak neemt een cloudaanbieder in zijn contract of algemene voorwaarden al op dat hij aan de regels voldoet, maar het is aan de verantwoordelijke om er zorg voor te dragen dat het inderdaad goed is afgesproken. 
     
  3. Als het zo is dat de Amerikaanse cloudaanbieder een Mexicaanse partner inschakelt, zal bedrijf A moeten controleren of Mexico op de witte lijst staat en bovendien moeten controleren of het Mexicaanse bedrijf zijn zaken op orde heeft. Want daar gaat het tenslotte om. Ieder bedrijf die de gegevens van bedrijf A verwerkt, moet voldoen aan de strenge Nederlandse privacyregels omdat de verantwoordelijke – bedrijf A – in Nederland is gevestigd. Als de cloudaanbieder in Amerika of het bedrijf in Mexico een fout begaat en de privacygevoelige gegevens op straat komen te liggen, kunnen de betrokkenen een klacht indienen bij het College Bescherming Persoonsgegevens of rechtstreeks aanspraak maken op een schadevergoeding. Er moet uiteraard wel sprake zijn van schade. En dat is niet altijd het geval. 

Dit laatste punt laat nog eens zien hoe complex de privacyregelgeving over clouddiensten is. Bedrijf A weet vaak namelijk niet waar de provider de data neerzet. Hij heeft dus vaak geen weet van de Mexicaan terwijl op hem wel de plicht rust te onderzoeken wat er met zijn data gebeurt. Bedrijf A zal dus aan de provider informatie moeten vragen hierover.

Met dank aan Mark Krul, WiseMen Advocaten

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie