Garanties Amerikaanse clouddiensten flinterdun

De garanties die Amerikaanse clouddiensten bieden ten aanzien van de bescherming van Europese persoonsgegevens zijn nogal dun, stelt het CBP.

Overheden en bedrijven die gegevens laten verwerken door in de VS gebaseerde cloud-diensten, zoals die van bijvoorbeeld Google, Dropbox of Microsoft, moeten zich realiseren dat de garanties die dergelijke bedrijven bieden ten aanzien van de bescherming van persoonsgegevens flinterdun zijn. Organisaties blijven zelf verantwoordelijk voor de gegevens.

Zelfcertificering
Het College Bescherming Persoonsgegevens onderzocht de garanties - met name de Safe Harbor-verklaring die Amerikaanse bedrijven afgeven - op verzoek van SURFmarket, dienstverlener voor honderdduizenden medewerkers en studenten in het Nederlandse hoger onderwijs. De Safe Harbor-regeling is een afspraak tussen de VS en de EU, die stelt dat Amerikaanse bedrijven alleen Europese persoonsgegevens mogen verwerken en opslaan als ze een Safe Harbor-certificaat hebben. Die vorm van zelfcertificering garandeert volgens het CBP niet dat de verwerking van de gegevens in de VS zelf voldoet aan Europese richtlijnen. Evenmin is Safe Harbor (waaraan een paar duizend Amerikaanse bedrijven zeggen te voldoen) een garantie voor afdoende gegevensbeveiliging.

Beveiliging
Ook standaarden als SAS 70, de in Nederland gangbare ISAE 3402 en SSAE 16, die gaan over extern toezicht op de beveiliging, bieden niet de garantie dat de beveiliging zelf aan alle eisen voldoet. Daarnaast is het nog de vraag of zogeheten 'sub-bewerkers' (partijen die door de cloudleverancier worden ingeschakeld om bijvoorbeeld opslag of beheer te verzorgen) eveneens aan de Safe Harbor-regels voldoet en hoe die garantie wordt gecommuniceerd.

Meldplicht
Ten slotte merkt het CBP ook nog op dat de door de regering gewenste meldplicht voor datalekken in het geval van clouddiensten alleen is te realiseren als de verantwoordelijke daarover heldere afspraken maakt met de 'bewerker' (de cloudleverancier) en eventuele sub-bewerkers. De organisatie die gegevens bij clouddiensten onderbrengt blijft te allen tijde zelf verantwoordelijk voor het naleven van de Wet bescherming persoonsgegevens, stelt het CBP.

Freek Blankena

(redacteur)

Bekijk alles van Freek Blankena

Reacties: 1

U moet ingelogd zijn om een reactie te kunnen plaatsen.

PVe / sr. adviseur

Deze regeling ziet volgens mij alleen maar op de bedrijven die de gegevens opslaan en niet op de Amerikaanse overheid. Ik heb altijd begrepen dat deze vergaande bevoegdheid hebben tot het zonder toestemming mogen controleren/raadplegen van alle in de VS opgeslagen gegevens en kan dus op deze manier ook kennisnemen van allerlei vertrouwelijke overheidsgegevens van de Nederlandse overheid. Mijn advies zou dan ook zijn hier niet aan te beginnen. Wellicht kan e.e.a. worden geregeld in een contract met het bedrijf door daarin op te nemen in welk(e) land(en) de gegevens uitsluitend mogen worden opgeslagen. Maar dan nog is het de vraag of dat gebeurt en in hoeverre weer geen derden worden ingeschakeld. M.i. moet je - als je dit al zou willen - als overheid zelf iets gaan opzetten en beheren. Ik zou dat dan strikt beperken tot deelnemers van de Nederlandse overheid en niet in EU-verband gaan werken.

Deel dit artikel

Freek Blankena

Lees meer

Gemeenten beveiligen Suwinet slechter dan vorig jaar

Kabinet start onderzoek naar eigen extentie voor overheidswebsites

Kamer wil overal zelfde pentest-opdrachten

Rekenkamer: gemeente Utrecht gebruikt onveilige oude software

Bijna 10.000 meldingen van datalekken

Gemeenten beveiligen Suwinet slechter dan vorig jaar

Kabinet start onderzoek naar eigen extentie voor overheidswebsites

Kamer wil overal zelfde pentest-opdrachten

Reacties: 1