Blog

Data-opslag in de cloud, privacy en wetgeving deel 3

Tips om te voldoen aan alle cloudregels

Voldoen aan wet- en regelgeving is er met de cloud niet makkelijker op geworden. Data zijn verspreid over meerdere locaties opgeslagen en je hebt daardoor te maken met de geldende regels van verschillende landen. Tegelijkertijd worden de regels rond dataprotectie en -verwerking ook nog eens strenger. In dit drieluik ga ik in op de spelregels voor data in de cloud. In dit laatste blog: acht tips om te voldoen aan alle spelregels.

Lees de eerste blog hier terug: grensoverschrijdende data. En het tweede deel: de Verenigde Staten.

Door: Patrick Brand

Wet- en regelgeving is geen gemakkelijke kost. Belangrijker nog dan kennis opdoen van de regels is het maken van een vertaalslag naar de business. Welke aspecten op het gebied van dataprivacy zijn relevant voor jouw bedrijf, de bedrijfsvoering en partners? En welke praktische maatregelen kan je nemen?

  1. Breng in kaart welke gegevens er voor welke doeleinden worden gebruikt (datamapping). Veel bedrijven weten eigenlijk niet welke gegevens ze in huis hebben. Daardoor kunnen ze onmogelijk vaststellen aan welke wetten ze moeten voldoen. Het begint bij het kritisch beoordelen van de aard van de gegevens. Zijn het bedrijfskritische, confidentiële data? Gaat het om persoonsgegevens, en wat wordt hiermee gedaan? Wordt er toestemming gevraagd om de persoonsgegevens te verzamelen en wordt de reden van het verzamelen medegedeeld?
  2. Stel een interne of externe Privacy Officer aan. Deze persoon heeft specialistische kennis op het gebied van privacywetgeving en hoe die moet worden toegepast. De privacy-officer is er niet alleen om aan de AVG te voldoen, maar vooral ook om invulling te geven aan de gegevensstrategie op het gebied van data-governance, -kwaliteit en -logistiek.
  3. Breng in kaart welke externe partijen allemaal betrokken zijn bij het gegevensbeheer. Let daarbij niet alleen op de locatie van een vestiging, maar juist ook op eventuele banden met ondernemingen die zijn gevestigd in de VS, bijvoorbeeld via een Amerikaanse moedermaatschappij.
  4. Stel vast of uw Nederlandse partners gebruik maken van een Amerikaanse cloudleverancier. Als dat het geval is: hoe wordt gewaarborgd dat er geen toegang is tot de data die door het Nederlandse bedrijf worden beheerd of zijn gegenereerd?
  5. Win met enige regelmaat juridisch advies in van specialisten. De maatschappelijke discussies over dataprivacy en gegevensbeheer zijn levendig en de Europese wetgever zit niet stil. Om te anticiperen op mogelijke risico’s is het onvermijdelijk juridisch advies in te winnen.
  6. Bereid je voor op een verzoek tot inzage van gegevens. Denk bijvoorbeeld aan het opstellen van een draaiboek. Data kunnen niet zomaar worden opgevraagd door een opsporingsinstantie, er dient altijd een juridische grondslag te zijn. Vraag hier dus ook altijd naar en toets de vordering. Laat een intern of extern jurist de vordering beoordelen. Daarnaast hebben consumenten op basis van de AVG recht op inzage, rectificatie en verwijdering van gegevens.
  7. Zorg dat er een protocol klaarligt voor het geval er een datalek plaatsvindt. Bedrijven zijn verplicht een datalek te melden. Zorg ervoor dat je weet wanneer je meldingen moet doen en bij wie je het lek moet melden. Zorg voor een communicatiestrategie voor gevallen waarbij het datalek reputatieschade tot gevolg kan hebben.
  8. Zorg dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is. Persoonsgegevens mogen alleen worden verzameld met expliciete toestemming van de betrokkene en voor de taak waarvoor ze zijn verzameld. Zijn ze niet langer nodig, dan moeten ze worden verwijderd.

Meer juridische informatie vindt u in ons whitepaper: Dataprivacy: Risico’s, wet- en regelgeving & de reikwijdte van de VS. We schreven het samen met de juridisch specialisten van bureau Brandeis.

Neem contact op met ons.

;