In hoofdstuk 2 heb ik onderzoek gedaan naar cloud computing en de kenmerken ervan. In hoofdstuk 3 zijn de privacy principes, uitgangspunten en bepalingen van de nieuwe Europese privacywetgeving AVG van toepassing op een CSP als verwerker nader uitgewerkt. In hoofdstuk 4 heb ik onderzoek gedaan naar beveiliging en privacy risico’s binnen een cloud omgeving die in de literatuur worden onderkend. In hoofdstuk 5 heb ik onderzoek gedaan naar bestaande normenkaders en standaarden die een minimum baseline aan beheersingsmaatregelen bevatten die noodzakelijk zijn om te komen tot toereikende beheersing van cloud privacy risico’s. In hoofdstuk 6 heb ik de totstandkoming van het theoretisch model toegelicht en de daarbij gehanteerde uitgangspunten en aanpak getoetst op basis van interviews met cloud privacy deskundigen. In dit hoofdstuk zal ik mijn probleemstelling beantwoorden en zal ik enkele aanbevelingen doen voor de CSP’s en toezichthoudende autoriteiten.
7.1 Conclusie probleemstelling
Voor mijn onderzoek heb ik in hoofdstuk 1 als probleemstelling de volgende centrale vraag geformuleerd:
Wat is een relevante en toepasbare set van criteria (normenkader) voor de uitvoering van privacy- audits onder de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) bij een cloud service provider (CSP) en welk type assurance rapport is daarbij het meest geschikt?
Om te komen tot een eerste aanzet voor de ontwikkeling van een Cloud Privacy Control Framework toepasbaar onder de AVG voor cloud service providers heb ik gebruik gemaakt van beschikbare internationale normenkaders en standaarden, ter waarborging dat sprake is van een evenwichtig geheel van beheersingsdoelstellingen en passende organisatorische en technische maatregelen. Een diepgaandere analyse op de relevantie en toepasbaarheid van deze normenkaders en standaarden voor cloud en privacy leidt tot de conclusie dat de volgende standaarden het meest geschikt zijn om als uitgangspunt te dienen voor de eerste aanzet tot een Cloud Privacy Control Framework:
• AICPA – SOC2 Trusted Services Principles;
• ISO 27018 – Code for protection of personally identifiable information (PII) in public clouds; • CSA – Security Guidance (4.0) en de Cloud Controls Matrix (3.0.1).
Om het Cloud Privacy Control Framework te laten aansluiten op de nieuwe Europese privacywetging van de AVG en het daarmee geschikt te maken voor de Europese/Nederlandse situatie zijn de uitgangspunten en bepalingen van de AVG geïntegreerd met de gehanteerde internationale standaarden voor cloud en privacy. Alleen de voor cloud service providers relevante AVG bepalingen zijn opgenomen, waardoor de relevantie voor zowel compliance als IT technische maatregelen is gewaarborgd. Op basis van de bepalingen en terminologie van de AVG heb ik relevante beheersingsdoelstellingen en -maatregelen herschreven en geschikt gemaakt voor toepassing in het Cloud Privacy Control Framework.
Voor een op privacy gerichte audit zijn diverse assurance producten beschikbaar om aantoonbaar te maken dat passende organisatorische en technische beveiligingsmaatregelen zijn ingericht ter waarborging van het doen nakomen van de van de AVG en daarover verantwoording te kunnen afleggen (‘accountability’). Uit een onderzoek naar de kenmerken van deze assurance producten in relatie tot de eisen vanuit de AVG kom ik tot de conclusie dat een SOC 2 rapportagevorm als enige aan
88
deze eisen voldoet. NOREA heeft voor Nederlandse auditors een handreiking uitgebracht voor het uitbrengen van een ISAE / richtlijn 3000 rapport dat gelijkwaardig is aan het Amerikaanse SOC 2 rapport. Voor de inrichting van een ISAE3000 / SOC 2 rapport voor een CSP in het kader van de AVG zijn diverse aanpassingen in het rapport wenselijk.
7.2 Beperkingen
Er gelden een aantal beperkingen voor mijn onderzoek:
• In mijn onderzoek heb ik de meest bekende normenkaders en standaarden (long list) op gebied van cloud en/of privacy betrokken en vanuit een diepgaandere analyse op de relevantie en toepasbaarheid van deze normenkaders en standaarden tot een selectie (shortlist) van een drietal standaarden gekomen die het meest geschikt zijn om te gebruiken voor een eerste aanzet tot de ontwikkeling van een Cloud Privacy Control Framework. Indien ik mij niet had beperkt tot alleen standaarden gericht op cloud en/of privacy had ik mogelijk tot nieuwe of andere inzichten gekomen met mogelijk meer IT en/of business oriëntatie.
• Door in het praktijkonderzoek een beperkt aantal interviews te houden met leden van de Kennisgroep Privacy van de NOREA en een Chief Privacy Officer van een corporate binnen Nederland. Hierdoor zijn de uitkomsten ervan mogelijk niet vergelijkbaar met de uitkomsten indien er een breder praktijkonderzoek had plaatsgevonden waarbij ook andere experts waren betrokken, zoals Functionarissen voor de Gegevensbescherming, Chief Information Security Officers en compliance en legal officers.
7.3 Aanbevelingen
Naar aanleiding van mijn onderzoek heb ik diverse aanbevelingen voor CSP’s in het kader van de toepassing en naleving van de AVG. In het theoretische deel (hoofdstuk 2 t/m 6) van mijn onderzoek heb ik mijn aanbevelingen reeds benoemd en toegelicht, hieronder zal ik een aantal belangrijke nog kort benoemen. Mijn aanbevelingen voor CSP’s zijn:
• Het gebruik maken van een data protection impact assessment (DPIA) als instrument voor het
aantoonbaar maken dat sprake is van een op het risico afgestemd toereikend beveiligingsniveau voor de bescherming van persoonsgegevens, waarbij onderkende privacy risico’s inzichtelijk zijn
en voldoende afgedekt met passende maatregelen. Om dit ook op het niveau van de cloud verwerkingssystemen te waarborgen kan gebruik worden gemaakt van het NIST Privacy Engineering proces. Dit proces is gericht op het waarborgen dat AVG principes zoals privacy by design, maar ook specifieke privacy kwaliteitsaspecten als predictability, manageability en disassociability, in de systeemontwikkeling worden meegenomen. Dit ondersteunt de CSP bij het voldoen aan AVG verplichtingen (pseudonimisatie, minimale gegevensverwerking) en het kunnen nakomen van contractuele afspraken met klanten (zoals recht op gegevenswissing en recht van portabiliteit). Een DPIA en privacy by design zijn onder AVG niet verplicht voor CSP’s.
• Het inrichten van een management systeem zoals een PDCA-cyclus dat de continue
kwaliteitsverbetering van de organisatorische en technische maatregelen waarborgt, in navolging
van de AVG verplichtingen dat beveiligingsmaatregelen regelmatig worden getest, beoordeeld en geëvalueerd op de doeltreffendheid ervan. De borging van een PDCA-cyclus is integraal onderdeel van gezaghebbende internationale standaarden op het gebied van informatiebeveiliging en bescherming van persoonsgegevens, zoals ISO 27001 (ISMS) en SOC2 (COSO-model). Deze standaarden zijn geïntegreerd in mijn Cloud Privacy Control Framework en het is daarom aan te bevelen hiervan gebruik te maken om te waarborgen dat wordt voldaan aan de AVG.
89
• Het toepassen van een SOC 2 rapportagevorm voor assurance op kwaliteitsaspecten als
beveiliging, beschikbaarheid, vertrouwelijkheid en privacy, in plaats van een ISAE3402 rapport. In
de praktijk vragen organisaties die de verwerking van gegevens hebben uitbesteed, aan hun CSP meestal specifiek om een ISAE3402 rapport voor het verkrijgen van assurance over de uitbestede diensten. Uit een onderzoek naar de kenmerken van assurance producten in relatie tot de AVG vereisten kom ik tot de conclusie dat een SOC 2 rapportagevorm meer geschikt is voor assurance op kwaliteitsaspecten als beveiliging, beschikbaarheid en vertrouwelijkheid (privacy). NOREA heeft voor Nederlandse auditors een handreiking uitgebracht voor het uitbrengen van een ISAE / richtlijn 3000 rapport dat gelijkwaardig is aan het Amerikaanse SOC 2 rapport. Voor de inrichting van een ISAE3000 / SOC 2 rapport geschikt voor toepassing door een CSP onder de AVG heb ik diverse concrete aanbevelingen, zie einde van hoofdstuk 5.4.
• Het vastleggen in elke schriftelijke overeenkomst met klanten of er wel of niet sprake is van
verwerking van persoonsgegevens, aangevuld met een instructie indien er wel persoonsgegevens worden verwerkt. Een CSP dient een verwerkingsopdracht te weigeren indien de klant hierover geen duidelijkheid wil of kan verstrekken. De AVG verplichtingen voor de CSP zijn alleen van
toepassing bij het verwerken van persoonsgegevens die bij een CSP terechtkomen. De CSP is verantwoordelijk om bij haar klanten na te gaan of er persoonsgegevens in de applicatie (SaaS), op het platform (PaaS) of op de infrastructuur (IaaS) worden verwerkt (door een verwerkingsverantwoordelijke). Bij een PaaS of IaaS weet de CSP veelal niet welke soort gegevens er respectievelijk op zijn platform of infrastructuur worden verwerkt, en zal dit expliciet gevraagd dienen te worden door de CSP. Het is aan te bevelen dat een CSP de verwerkingsopdracht weigert indien de klant hierover geen duidelijkheid wil of kan verstrekken. Om onduidelijkheden en aansprakelijkheid achteraf te voorkomen zou een CSP in elke schriftelijke overeenkomst expliciet moeten vastleggen of er wel of niet sprake is van verwerking van persoonsgegevens, aangevuld met een instructie indien er wel persoonsgegevens worden verwerkt. De branche en toezichthoudende autoriteiten zouden nadere richtlijnen moeten opstellen voor CSP’s en daarin onderscheid maken tussen de verschillende cloud dienstenmodellen (SaaS, PaaS, IaaS).
• Het door de Autoriteit Persoonsgegevens laten opstellen van richtlijnen voor CSP’s ter invulling van
specifieke principles based AVG bepalingen om eenduidige toepassing ervan te waarborgen en om te voorkomen dat het technologieneutraal principe van de AVG voorbij gaat aan de economische realiteit en dagelijkse praktijk van cloud computing. De AVG is principles based en voor de invulling
van (een deel van) deze bepalingen heeft de AVG als verplichting opgenomen dat de CSP als verwerker een schriftelijke overeenkomst (‘verwerkersovereenkomst’) dient aan te gaan met de verwerkingsverantwoordelijke, waarin voor specifieke cloud dienstverlening wordt vastgelegd op welke wijze de CSP de persoonsgegevens dient te verwerken voor de verwerkingsverantwoordelijke. Het is aan te bevelen voor de Autoriteit Persoonsgegevens om haar Wbp gebaseerde richtlijnen en standaarden (zoals AP Richtsnoeren) te actualiseren, alsmede om eenduidigheid te waarborgen door aan diverse AVG bepalingen nadere invulling te geven. Bijvoorbeeld het objectiveren van specifieke AVG criteria (zoals het ‘zonder onredelijke vertraging’ melden van datalekken), het definiëren van ontbrekende criteria (zoals (drempel)criteria voor een ‘inbreuk’), het erkennen van gedragscodes of certificeringsmechanisme en adviseren op gebied van normenkaders en assurance rapporten. Om te voorkomen dat het technologieneutraal principe van de AVG voorbij gaat aan de economische realiteit en dagelijkse praktijk van cloud computing, is het aan te bevelen aan de toezichthoudende autoriteiten om nadere richtlijnen op te stellen voor CSP ter voorkoming dat een CSP bij elke wijziging van technologie en architectuur
90
van de cloud dienst of van het gebruik ervan door klanten er onderlinge afstemmingen en aanpassing van de schriftelijke overeenkomsten benodigd zijn.
Uit de interviews (praktijkgericht onderzoek) met cloud privacy deskundigen komt naar voren dat in het kader van de principles based bepalingen van de AVG (zie voorgaande aanbeveling) de Autoriteit Persoonsgegevens criteria moet laten opstellen ter ondersteuning voor het kunnen onderscheiden van de rollen van verwerkingsverantwoordelijke en verwerker in complexere situaties op gebied van cloud dienstverlening.
7.4 Suggesties voor verder onderzoek
Naar aanleiding van mijn scriptie heb ik volgende suggesties voor verder onderzoek:
• In deze scriptie doe ik een eerste aanzet voor de ontwikkeling van een Cloud Privacy Control Framework als relevante en toepasbare set van criteria (normenkader) ten behoeve van een op privacy gerichte IT audit onder de AVG bij een cloud service provider. Mijn advies aan de Kennisgroep Privacy van de NOREA is dit normenkader verder ter hand te nemen en mijn aanbevelingen mee te nemen voor de verdere ontwikkeling van een Cloud Privacy Control Framework. De Autoriteit Persoonsgegevens als toezichthouder kan hierin ook een rol vervullen door nadere invulling te geven aan de AVG principes voor specifieke bepalingen waar deze ruimte aan de lidstaten is gegeven. De gevolgen van deze nadere invulling voor de Nederlandse situatie voor het Cloud Privacy Control Framework dient nader te worden onderzocht.
• Ook kan nader onderzoek worden gedaan naar de toepasbaarheid van de AVG verplichtingen en mijn Cloud Privacy Control Framework voor elk van de onderkende cloud dienstenmodellen (SaaS, PaaS en IaaS) en de daarin toegepaste cloud technologieën. Dit kan verder worden uitgebreid naar de gevolgen van de uitbesteding van specifieke IT infrastructuren door een cloud service provider aan subverwerkers. De complexe IT-omgevingen die hierdoor ontstaan als gevolg van de koppelingen tussen meerdere cloud leveranciers en de (veranderende) impact daarvan op kwaliteitsaspecten als beveiliging, beschikbaarheid en vertrouwelijkheid (privacy) kan onderdeel uitmaken van verder onderzoek.
• In Nederland is nog slechts beperkte praktijkervaring in de toepassing van de NOREA handreiking voor het uitbrengen van een ISAE3000 / SOC 2 rapport. Mijn suggestie is om onderzoek te verrichten naar de toepasbaarheid en acceptatie van deze rapportagevorm onder de diverse stakeholders (cloud afnemer, CSP en IT auditor).
Uit de interviews (praktijkgericht onderzoek) met cloud privacy deskundigen komt naar voren: • In de dagelijkse praktijk hebben cloud afnemers een toenemende behoefte aan continuous
monitoring en auditing in het kader van transparantie en de verantwoordingsplicht (‘accountability’), in plaats van alleen assurance over het verleden (veelal jaarlijks). De mogelijkheden en beperkingen van het bijna continue analyseren en rapporteren van beschikbare informatie uit cloud systemen voor inzicht in de kwaliteit van dienstverlening en frequente controle van deze processen door een IT auditor in relatie tot privacy en de AVG zouden nader moeten worden onderzocht. Mijn aanbeveling is dat de uitkomsten van dit onderzoek worden meegenomen in de verdere ontwikkeling van het Cloud Privacy Control Framework en de dynamisering ervan.
91