Hoe garandeer je privacy en security bij co-locatie en cloud computing?

ISV’s en IT-dienstverleners kunnen niet meer om colocatie en en cloud computing heen. Zij kunnen hiermee op een kostenefficiënte manier doelstellingen realiseren op het gebied van schaalbaarheid, beschikbaarheid en security. Bovendien zijn ze dan beter in staat om zich te focussen op hun kernactiviteiten in plaats van de aanschaf en het onderhoud van IT. De vraag is echter: wat betekent deze outsourcing voor de privacy en security van persoonsgegevens?

Het uitbesteden van gegevensverwerking, het transport en de externe opslag van informatie, heeft gevolgen voor de verantwoordelijkheden omtrent security. Specifiek voor het werken met persoonsgegevens zijn organisaties verplicht om verantwoording af te leggen aan de betrokken personen over de keuzes en afspraken die zie hierover hebben gemaakt met hun datacenter. Maar wat is de beste manier om de privacybescherming van uw klanten en personeel te garanderen? Antwoord op deze vraag vindt u in dit praktische artikel.

Privacybescherming als uitgangspunt

In een uitbestede IT-omgeving kan allerlei gevoelige informatie over personen verwerkt worden. Denk bijvoorbeeld aan cijferlijsten van leerlingen, loonoverzichten van medewerkers of de medische gegevens van patiënten. Die mensen hebben allemaal recht op hun privacy en de vertrouwelijke behandeling van hun persoonlijke gegevens. Volgens de Wet Bescherming Persoonsgegevens is de ‘Verantwoordelijke’, de partij die primair verantwoordelijk is voor de bescherming van deze rechten. Een datacenter of cloud-leverancier heet in dit verband de Bewerker (of zelfs sub-bewerker), die een afgeleid deel van de verantwoordelijk draagt voor het goed omgaan met persoonsgegevens. Dit is afhankelijk van de mate waarin de dienstverlening dit rechtvaardigt.

Gelukkig staat u er dus niet alleen voor bij de bescherming van persoonsgegevens, waarvoor u verantwoordelijk bent. Een datacenter als Previder heeft uiteraard een groot belang bij een kwalitatief goede invulling van privacybescherming binnen het eigen product- en dienstenaanbod. Om die reden zorgen wij er in de eerste plaats voor dat wij voldoen aan de hoogst mogelijke beveiligingseisen die binnen onze markt gelden, waaronder diverse ISO-certificeringen. Verder leveren wij ook standaard bewerkersovereenkomsten aan onze klanten. Deze overeenkomst heeft u als IT-dienstverlener of ISV nodig om aan te tonen dat u de juiste afspraken heeft gemaakt over de bescherming van de privacy van individuen, waarvan binnen uw omgeving gegevens worden verwerkt.

Bewerkersovereenkomst

De Wet Bescherming Persoonsgegevens is van toepassing op het moment dat er gegevens worden opgeslagen die naar personen te herleiden zijn. Als je nagaat hoe vaak wij allemaal persoonsgegevens afgeven aan organisaties, dan is dat bepaald geen unicum. Al die organisaties zijn volgens de privacywetgeving de ‘Verantwoordelijke’ voor deze gegevens. Als individu kunt u toetsen hoe er met uw gegevens wordt omgegaan via het privacybeleid, dat in de online wereld veelal onderaan de homepage via een link te vinden is. Maakt u als organisatie zelf gebruik van persoonsgegevens, dan is het dus belangrijk om invulling te geven aan dit privacybeleid. Herinnert u zich de eerste zin van dit artikel nog? “ISV’s en IT-dienstverleners kunnen niet meer om co-locatie en en cloud computing heen.” Daar komt de bewerkersovereenkomst om de hoek kijken. U moet immers met behulp van uw privacybeleid aantonen dat u beleidsmatig in overeenstemming met de Wet handelt bij de opslag en verwerking van privacygevoelige informatie. Maar als u de technische invulling hiervan aan een extern datacenter uitbesteedt, is het wettelijk verplicht een bewerkersovereenkomst met deze partij af te sluiten. Hierin worden de afspraken tussen het datacenter en uw organisatie vastgelegd, die deze partner verplicht om aan de gemaakte afspraken op het gebied van bescherming van persoonsgegevens te voldoen.

Concrete maatregelen

Als verantwoordelijke zult u vanuit de Wet Bescherming Persoonsgegevens een aantal maatregelen moeten nemen om persoonsgegevens voldoende te beschermen. De reeds genoemde bewerkersovereenkomst legt een goede basis, maar denk ook aan de volgende maatregelen.

  • Verantwoordelijke voor privacybeleid. Gezien het grote belang van de maatregelen voor privacybescherming, is het handig hier een verantwoordelijke voor aan te wijzen binnen uw organisatie (privacyfunctionaris).
  • Inventariseer de persoonsgegevens. De gegevens die binnen uw organisatie worden vastgelegd, moeten in kaart gebracht worden. Ofwel: om welke gegevens gaat het, waar worden ze opgeslagen en om welke reden? Bespreek deze vastlegging met de directie, met werknemers, de IT-verantwoordelijke en met uw klanten. Stel duidelijke regels vast voor het werken met privacygevoelige gegevens en benoem de benodigde maatregelen.
  • Bescherming onrechtmatig gebruik. Stel vast welke maatregelen er al getroffen zijn om privacygevoelige gegevens te beveiligen tegen onrechtmatig gebruik. Bij onrechtmatig gebruik wordt alles bedoeld dat niet in overeenstemming is met de vastgelegde reden voor het gebruik van de betreffende persoonsgegevens. Ongetwijfeld zijn er al diverse maatregelen getroffen, maar die moeten dus helder in kaart worden gebracht.
    • Maatregelen die onbevoegde toegang voorkomen, waaronder toegangscontrole, controle op verwerkingen en het bijhouden van logbestanden.
    • Maatregelen die wijziging of verlies van de persoonsgegevens voorkomen, waaronder encryptie.
    • Maatregelen die het mogelijk maken de portabiliteit (persoonsgegevens overzetten naar een nieuwe dienstverlener) aan te passen of in te zien, en de mogelijkheid om persoonsgegevens inclusief back-ups permanent te wissen als daartoe aanleiding is.
    • Kijk kritisch naar de leverancierscontracten. Het in kaart brengen van samenwerkingsverbanden met externe leveranciers is een zeer belangrijke beveiligingsmaatregel. U wilt hiermee vaststellen dat de juiste afspraken over beveiliging en verantwoordelijkheidsverdeling zijn gemaakt, maar bovendien is dit overzicht nodig voor het bijhouden van de lopende contracten en contactpersonen. De bewerkersovereenkomsten spelen hierbij een belangrijke rol. Uw leveranciers zien bovendien ook graag dat de afgenomen dienstverlening goed is afgestemd op wat er in de bewerkersovereenkomst is vastgelegd.
    • Toets de beveiligingsmaatregelen. Ten slotte is het van belang om goed te beoordelen of de getroffen beveiligingsmaatregelen toereikend zijn. Dit moet getoetst worden aan de hand van de aard en omvang van de vastgelegde gegevens en de maatregelen die u nodig acht om die afdoende te beschermen. Als uitkomst van deze toets kunt u mogelijk vaststellen dat het nodig is om verdere beveiligingsmaatregelen te treffen.

    Hopelijk heeft u met dit artikel een beter beeld gekregen van uw verantwoordelijkheden bij het beschermen van privacygevoelige gegevens bij co-locatie en cloud computing. Wilt u meer informatie over de bescherming van persoonsgegevens en de bewerkersovereenkomst, dan zijn wij u daarbij graag van dienst. Neem daarvoor gerust contact met ons op.

    Jeroen Renard

    Jeroen Renard is Security Officer bij de Odin Groep en Previder. Voorafgaand aan deze functie heeft hij onder meer ruim 15 jaar als IT auditor gewerkt bij grotere accountantskantoren. Het adviseren over, en uitdragen van security standaarden binnen de organisatie maakt het werk leuk en het is voor Jeroen een uitdaging om veranderingen te brengen waar het moet en ondersteunend te zijn waar het kan.

Blijf op de hoogte!

Wil jij op de hoogte blijven van vacatures, traineeships en loopbaanontwikkeling?
Meld je dan aan voor de nieuwsbrief.

aanmelden