Blog

Data-opslag in de cloud, privacy en wetgeving

Deel 1: grensoverschrijdende data

Wij krijgen veel vragen over het opslaan van privacy gevoelige gegevens in de cloud, bijvoorbeeld patiëntendossiers of juridische documenten. Hoe veilig is dit nu eigenlijk? En dan niet zozeer fysiek, of het beschermen van data tegen hackers, maar juridisch.

Wel, het voldoen aan wet- en regelgeving voor wat betreft data-opslag is er met de komst van cloud niet makkelijker op geworden. Data zijn vaak verspreid over meerdere locaties en landen opgeslagen. Daardoor kunt u te maken krijgen met de geldende regels van verschillende landen. Tegelijkertijd worden de regels rond dataprotectie en -verwerking ook nog eens strenger. In dit drieluik gaan we in op factoren die invloed hebben op de spelregels voor data in de cloud. De informatie komt uit het whitepaper dat wij met de juristen van Brandeis Advocaten maakten. In dit eerste blog: grensoverschrijdende data.

Wanneer u data naar de cloud gaat migreren heeft dit consequenties voor de plek waar data worden opgeslagen. Data kan in de cloud van een lokale IT-partner zijn opgeslagen, maar vaak maakt die weer gebruik van andere partijen die gespecialiseerd zijn in het onderhouden van fysieke datacenters. Data staan bovendien vaak op meerdere plekken verspreid door het gebruik van SaaS en door de noodzaak om backups te maken op andere locaties.

Die versnipperde opslag van data maakt het lastig om aan alle geldende wetgeving te voldoen. Vaak heb je te maken met wetgeving van meerdere landen. Bovendien zijn er duidelijke restricties om gevoelige gegevens - zoals persoonsgegevens - buiten de EU op te slaan.

Buiten de EU

De EU verbiedt dat persoonsgegevens van Europese burgers buiten Europa worden opgeslagen, met uitzondering van Noorwegen, Liechtenstein, de Kanaaleilanden en Ijsland. Wanneer deze gegevens toch door u of uw partners in het buitenland worden opgeslagen zijn er extra afspraken nodig om de autoriteiten ervan te verzekeren dat data beschermd worden met een passend beveiligingsniveau.

  • Bedrijven met vestigingen in Europa en de VS kunnen gebruikmaken van Binding Corporate Rules, interne gedrags¬codes voor het gegevensverkeer binnen de eigen organisatie. Binding Corporate Rules moeten in overeenstemming zijn met de Europese privacy-beginselen en goedgekeurd worden door Europese toezichthouders.
  • Bedrijven kunnen gegevens doorgeven met toestemming van de betrokkene voor een specifiek doel. Deze toestemming moet aan strenge regels voldoen.
  • Tot slot zijn er modelcontracten voor de doorgifte van privacygevoelige gegevens. Die contracten moeten wel goedgekeurd zijn door de Europese Commissie.
  • Amerikaanse bedrijven kunnen zich certificeren voor het Privacy Shield programma van de Europese Unie Hier zullen we dieper op ingaan in een volgende blog.

Om te voldoen aan alle regels is het belangrijk eerst een beeld te hebben waar allemaal data opgeslagen staan. Een eerste stap is daarom in kaart te brengen welke data u verzameld en wie deze data allemaal verwerken. Ook is het belangrijk inzicht te hebben van welke partners uw eigen IT-partner gebruik maakt. Worden er data enkel in Europa opgeslagen? Of maakt uw partner gebruik van buitenlandse bedrijven? De vernieuwde privacywetgeving (AVG) voorziet in de verplichting u toestemming te vragen wanneer hij gebruik maakt van een externe dienst.

In blog twee van dit drieluik gaan we in op de specifieke wetgeving vanuit de Verenigde Staten. Meer juridische informatie vindt u in ons whitepaper: Dataprivacy: Risico’s, wet- en regelgeving & de reikwijdte van de VS. We schreven het samen met de juridisch specialisten van bureau Brandeis.

Neem contact op met ons.

;