Onderwerp Ref Wijziging bepalingen voor CSP Impact
Persoonsgegevens (inclusief bijzondere persoonsgegevens)
3.1 Beperkte uitbreiding van de categorieën persoonsgegevens onder de AVG met online indicatoren en met genetische en biometrische gegevens (bijzonder). In de data classificatie als onderdeel van de risicoanalyse zal dit mogelijk beperkte impact kunnen hebben voor een CSP.
Definitie van verwerker
3.2 De definitie van verwerker (‘bewerker’ in Wbp) is nagenoeg ongewijzigd. Een CSP die onder de Wbp als verwerker was geclassificeerd, zal dat zeer waarschijnlijk blijven onder de AVG.
Toepassingsgebied 3.2 Door het bredere territoriale toepassingsgebied van de AVG bestaat de mogelijkheid dat er meer CSP’s onder de werkingssfeer van de AVG komen te vallen. De directe verantwoordelijkheid van een CSP voor het doen nakomen van verplichtingen uit de AVG verandert hun juridische positie, vanwege de directe aansprakelijkheid en boetes bij overtredingen.
Schriftelijke overeenkomst
3.3.1 Deze verplichtingen leiden tot een forse uitbreiding van de eisen die aan een verwerkersovereenkomst worden gesteld, en aansprakelijkheid contractueel uitsluiten door de CSP is niet meer mogelijk.
Garanties 3.3.2 De verwerker kan afdoende garanties bieden door aan te sluiten bij een goedgekeurde gedragscode of certificeringsmechanisme. Ook in huidige praktijk wordt dit toegepast en is er sprake van monitoring, review en audit.
Subverwerker 3.3.3 Ook onder de huidige Wbp heeft de subverwerker de verplichting om persoonsgegevens te verwerken conform de instructies van de CSP en de verantwoordelijke. Wel nieuw is de bepaling omtrent de wijze waarop een subverwerker kan worden ingeschakeld, namelijk met voorafgaande schriftelijke toestemming (specifiek of algemeen).
Geheimhouding 3.3.4 De geheimhoudingsplicht is in materiele zin overeenkomstig aan de Wbp, waarin is bepaald dat de CSP verplicht is tot geheimhouding en
persoonsgegevens slechts verwerkt in opdracht van de verantwoordelijke. De contractuele verplichting tot geheimhouding is nieuw onder de AVG.
Beveiliging 3.3.5 Onder de AVG heeft de cloud service provider een directe zelfstandige verantwoordelijkheid om toereikende beveiligingsmaatregelen te treffen, en is deze ook zelf aansprakelijk voor de schade die voortkomt uit het niet op orde hebben van deze maatregelen. Dit is een belangrijke wijziging ten opzichte van de Wbp, omdat daarin alleen de verantwoordelijke de verplichting heeft om de cloud service provider passende technische en organisatorische maatregelen te laten treffen, en is er ook zelf
verantwoordelijk voor dat deze in de schriftelijke overeenkomst zijn opgenomen.
Bijstand verlenen aan de verantwoordelijke
3.3.6 De rechten van de betrokkene zijn uitgebreid met het recht op een kopie van de gegevens die worden verwerkt, het recht op vergetelheid en het recht op dataportabiliteit.
Verwijderen en overdragen van persoonsgegevens
3.3.7 De contractuele verplichting voor de CSP en aansprakelijkheid daarbij zijn nieuw onder de AVG.
Aantoonbaarheid en verantwoording (‘accountability’)
3.3.8 Nieuwe verplichtingen voor de CSP, in de Wbp zijn geen directe verplichtingen voor de CSP opgenomen inzake aantoonbaarheid en verantwoording (‘accountability’)
93
Verwerking onder gezag
3.3.9 De verplichting dat de CSP uitsluitend persoonsgegevens verwerkt in opdracht van de verantwoordelijke is gehandhaafd onder de AVG.
Verwerkingsregister 3.3.10 Een nieuwe verplichting voor de CSP, die een aanzienlijke administratieve lastenverzwaring tot gevolg zal hebben.
Medewerking met de toezichthoudende autoriteit
3.3.11 Een nieuwe verplichting voor de CSP die gevolgen kan hebben als er met de autoriteit meegewerkt dient te worden. Duidelijke implicatie voor de aansprakelijkheid van de CSP onder de AVG.
Melden van datalekken
3.3.12 Een CSP is onder de AVG direct zelfstandig verantwoordelijk voor het zonder onredelijke vertraging, zodra hij kennis heeft genomen van een datalek, melden daarvan aan de verantwoordelijke. Deze verplichting is nieuw en kan tot boetes leiden bij het niet nakomen ervan.
Data protection impact assessment (DPIA)
3.3.13 Ook onder de AVG geen verplichting voor de CSP om een DPIA uit te voeren, maar gezien het belang ervan voor de verantwoordelijke zal deze in de schriftelijke overeenkomst om ondersteuning verzoeken vanwege de diepgaande kennis van de verwerkingsactiviteiten bij de CSP.
Functionaris voor gegevensbescherming
3.3.14 Een nieuwe verplichting voor de CSP, die relatief eenvoudig is en voor de langere termijn zelfs meerwaarde kan hebben doordat het bijdraagt aan de verantwoordingsplicht en de borging van compliance AVG.
Gedragscode en certificering
3.3.15 In vergelijking met de huidige Wbp (artikel 25) geven deze bepalingen aan de CSP meer mogelijkheden aantoonbaar te voldoen aan de
privacywetgeving. Onder de Wbp is het al wel mogelijk om een gedragscode te hanteren, echter een certificeringsmechanisme komt daarin niet terug.
Doorgifte naar derde landen
3.3.16 Een nieuwe verplichting voor de CSP met directe aansprakelijkheid bij het niet nakomen van de bepalingen omtrent doorgifte van persoonsgegevens naar landen buiten de EU. Deze doorgifte is niet toegestaan, tenzij er sprake is van een ‘passend beschermingsniveau’ of er een vrijstelling van toepassing is. Deze bepalingen waren onder de Wbp al van toepassing, maar dan alleen voor de verantwoordelijke, die deze verplichting had kunnen doorzetten naar de CSP via een contract. Echter, vanwege de essentie van cloud en wereldwijde gegevensstromen, alsmede de directe aansprakelijkheid acht ik dit als een significante wijziging voor de CSP.
Aansprakelijkheid en sancties
3.3.17 De directe aansprakelijkheid van CSP voor het doen nakomen van haar verplichtingen onder de AVG heeft aanzienlijke gevolgen, met name vanwege de significante boetes die kunnen worden opgelegd door de Autoriteit Persoonsgegevens.
94