Cloud services en naleving van de GDPR: 8 acties

Cloud services vallen net als alle ander IT oplossingen onder de werking van de Algemene Verordening Gegevensbescherming (AVG / GDPR). De GDPR is de wet op de privacybescherming van de Europese Commissie. De boetes kunnen oplopen tot 4 procent van de wereldwijde omzet van een bedrijf. Alle bestaande privacy wetgeving is door de GDPR vervangen. Deze wet is sinds 25 mei 2018 van kracht.

Tot nu toe ligt de nadruk op wat binnen de organisaties moet worden geregeld aan registers, Privacy Functionarissen en privacy verklaringen. Er is echter minder inzicht hoe je met cloud services moet omgaan. Bekende cloud services zijn bijvoorbeeld Salesforce, Exact online, Workday, Box, Dropbox, WeTransfer enzovoorts. Dit zijn services waar bedrijven in toenemende mate van afhankelijk zijn.

Volgens de laatste onderzoeken maakt de gemiddelde Europese onderneming gebruik van meer dan 600 cloud services. Onderzoek wijst uit dat 90 procent van deze cloud services buiten beeld blijft van de Functionaris Gegevensbescherming omdat het schaduw-IT is waarop de IT afdeling geen toezicht heeft. Dit roept natuurlijk de vraag op hoe cloud-consumerende organisaties ooit kunnen hopen te voldoen aan de GDPR.

Hieronder volgen 8 opeenvolgende acties die je weer “in control” brengen:

1. Inventariseer de cloud services die worden gebruikt

Bepaal welke services medewerkers allemaal gebruiken en onderzoek of er privacy aspecten aan verbonden zijn. Onderzoek alle werkstations, laptops, tablets en smarts phones op het gebruik van cloud services.

2. Ken de locatie waar cloud-services data verwerken of opslaan

Doe dit door van alle privacy gevoelige cloud services te onderzoeken waar ze je data hosten. Dit soort leveranciers hebben vaak meerdere datacenters waar ze data plaatsen. De data kan zelfs over meerdere plaatsen zijn verspreid.

3. Neem voldoende veiligheidsmaatregelen om persoonlijke data te beveiligen

Beveiliging tegen verlies, wijziging of ongeoorloofde verwerking is verplicht geworden. Je moet weten welke cloud services voldoen aan je beveiligingsnormen en neem maatregelen voor die services die daar niet aan voldoen.

4. Snij in de wildgroei en verwijder overlappingen

Zodra je alle privacy gevoelige cloud services in beeld hebt kan je kijken waar ze elkaar overlappen. Het heeft weinig zin om dubbele functies in gebruik te houden. Consolideer en stroomlijn daarom je services voor je verder gaat.

5. Sluit een verwerkersovereenkomst met de cloud services providers

Sluit met de overgebleven services een gegevensverwerkersovereenkomst af zodat zij zich zullen houden aan de vereisten voor privacybescherming die gelden volgends de GDPR.

6. Sta niet toe dat cloud services persoonlijke data voor andere doeleinden gebruiken

Zorg hiervoor via de gegevensverwerkersovereenkomst. Controleer tijdens de cloud service due diligence dat duidelijk in hun voorwaarden is aangegeven dat de klant eigenaar is van de data en dat zij de data niet delen met derden.

7. Verzamel alleen “noodzakelijke” data en beperk de verwerking van “speciale” data

Leg in de verwerkersovereenkomst vast dat alleen de persoonlijke gegevens die nodig zijn om de werking cloud service mogen worden verzameld. Niets meer dan dat en dat er grenzen zijn aan het verzamelen van “speciale” data. Deze zijn zaken zoals ras, etniciteit, politieke overtuiging, religie en meer.

8. Zorg ervoor dat je de data kunt wissen als je stopt met het gebruik van de cloud service

Zorg ervoor dat de voorwaarden van de service duidelijk aangeven dat je je eigen data onmiddellijk kunt downloaden en dat ze je data zullen wissen zodra je de cloud service beëindigd. Leg vast hoe lang het duurt voordat ze dit doen. Hoe sneller (in minder dan een week), hoe beter. Het langer vasthouden van data brengt een groter risico op data lekken met zich mee.

Privacy is meer dan beleid

Het is niet voldoende op deze acties in je beleid op te nemen. Je moet ze ook uitvoeren. Ik weet dat het veel werk is maar maak er serieus werk van. Toon aan dat je GDPR compliant bent.

Discussieer mee op LinkedIn.